句柄表
关注
分享
扫一扫
qq_857305819
这个作者很懒,什么都没留下…
展开
-
句柄表
使用OpenProcess后,句柄表的变化 连续多次打开相同对象后,返回给三环的句柄的值是不同的,句柄表里面也会添加相应的值。 通过句柄寻找内核对象 第一步 :WinDbg使用命令 !Process 0 0 遍历所有进程 第二步 :dt _EPROCESS +指定进程的地址 第三步 :_EPROCESS+c4里面的值 就是句柄表位置的指针 kd> dt _HANDLE_TABLE ...原创 2020-08-13 08:02:36 · 403 阅读 · 0 评论 -
全局句柄表
查找时需要把最低位清0 PspCidTable存的是 _HANDLE_TABLE结构体的指针。 最后通过索引找到的是_EPROCESS _ETHREAD 这种结构体本身,不需要+18h。最后的两个bit位要清0. 如何判断找到的句柄类型是进程还是线程 把找到的值减去18h,通过_OBJECT_HEADER结构体的TYPE 判断。 练习二 通过全局句柄表遍历所有进程 ...原创 2020-08-13 08:02:21 · 588 阅读 · 0 评论