枚举进程——PspCidTable

最新推荐文章于 2022-11-26 18:04:16 发布
最新推荐文章于 2022-11-26 18:04:16 发布
阅读量1.9k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: object null windows string table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/strongxu/article/details/4959757

    看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。当然也借鉴了别人的代码。

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
    HANDLE h;
    
    DbgPrint("DriverEntry/n");
    DriverObject->DriverUnload = DrvUnload;
    
    
    ExEnumHandleTable = (EXENUMHANDLETABLE)GetFunctionAddr(L"ExEnumHandleTable");
    if(ExEnumHandleTable == NULL )
    {
        DbgPrint("Get ExEnumHandleTable Address Error/n");
        return STATUS_SUCCESS;
    }
    DbgPrint("Address of ExEnumHandleTable:%x/n", ExEnumHandleTable);
    
    GetPspCidTable();
    DbgPrint("CidTable:%x/n", pPspCidTable);
    
    ExEnumHandleTable(pPspCidTable, ExEnumHandleCallBack, NULL, &h);
    
    return STATUS_SUCCESS;
}
void GetPspCidTable( )
{
    PUCHAR cPtr;
    DWORD PsAddr = GetFunctionAddr(L"PsLookupProcessByProcessId");
    
    for(cPtr = (PUCHAR)PsAddr;
        cPtr < (PUCHAR)PsAddr + PAGE_SIZE; cPtr++)
    {
        if(*(PUSHORT)cPtr == 0x35FF)
        {
            pPspCidTable = **(PVOID**)(cPtr+2);
            break;
        }
    }
}
BOOLEAN ExEnumHandleCallBack(PHANDLE_TABLE_ENTRY HandleTableEntry, HANDLE Handle, PVOID EnumParameter)
{
    NTSTATUS ntStatus;
    HANDLE Cid;
    PEPROCESS Process;
    ULONG uTableCount;
    ULONG uTablePage = 0;
    
    if(EnumParameter == HandleTableEntry)
    {
        return TRUE;
    }
    else
    {
        for(uTableCount = 0; uTableCount < 0x1000; uTableCount++)
        {
            if(HandleTableEntry->Object)
            {
                Cid = (HANDLE)((1024*uTablePage)+(uTableCount<<2));
                if(Cid > (PVOID)4)
                {
                    ntStatus = PsLookupProcessByProcessId(Cid, &Process);
                    if(NT_SUCCESS(ntStatus))
                    {
                        DbgPrint("PID:%4d/tProcess Name:%-16s/n",
                            Cid, ((PUCHAR)Process+EPROC_NAME_OFFSET));
                        ObDereferenceObject(Process);
                    }
                }
                else
                {
                    if(Cid == 0)
                    {
                        DbgPrint("PID:%4d/tProcess Name:Idle/n", 0);
                    }
                    else
                    {
                        DbgPrint("PID:%4d/tProcess Name:System/n", 4);
                    }
                }
            }
        }
        uTablePage++;
        return TRUE;
    }
}
strongxu
关注
PspCidTable句柄表辅助检测隐藏进程
chinghoi's blog
06-26 2179
一、获取PspCidTable的地址 1.特征码搜索以下几个函数之一提取Call PspCidTable地址: PsLookupProcessByProcessId() PsLookupProcessThreadByCid() PsLookupThreadByThreadId() 0: kd> u PsLookupProcessByProcessId l 20 nt!PsLoo
EnumProcessByPsCidTable.rar
01-31
用系统内核变量PsCidTable枚举进程,前提是PsCidTable没有被XX过
PspCidTable进程枚举
rongwenbin的专栏
02-25 1571
-------------------------------------这是分割线--------------------------------------- Windows句柄表格式 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引。Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的
通过PspCidTable枚举进程
liuhaidon1992的博客
01-08 355
如果当前进程为System进程,就意味着此次打开的内核对象访问权限属于内核,那么就使用内核句柄表, 内 核句柄与用户句柄不同的地方就在于内核句柄需要或上一个0x80000000即最高位置为1作为标识, 但是实际在使用句柄的时候还是不需要这个最高位值的。进程的句柄表由EPROCESS中的 ObjectTable成员进行管理, 句柄表有3种内存结构分别为一级表,二级表以及三级表。表的结构 由进程中的句...
枚举系统进程
cay22的专栏
01-10 3998
枚举系统进程
关于PspCidTable
zfdyq
10-20 963
PspCidTable为一个全局变量,其格式与普通的句柄表是完全一样的. 但它与每个进程私有的句柄表有以下不同:  1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID  2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)  3.PspCidTable
易语言API枚举进程内模块源码
06-06
枚举进程内模块是编程中一个常见的任务,它允许程序员获取正在运行的进程所加载的所有动态链接库(DLL)或其他模块的信息。在Windows操作系统中,这个功能通常通过API调用来实现。 "易语言"是中国本土开发的一款...
易语言源码易语言枚举进程所有句柄源码.rar
03-31
在本压缩包文件"易语言源码易语言枚举进程所有句柄源码.rar"中,包含了一个易语言编写的程序,该程序主要用于枚举并显示当前系统中的所有进程句柄。下面我们将详细探讨这个知识点。 1. **进程和句柄**: - **进程*...
枚举进程.列出所有进程来 得到进程列表
03-21
Windows操作系统中,枚举进程是一项重要的系统管理任务,它涉及到获取系统中当前正在运行的所有进程的信息。这个过程通常由开发者使用,以便监控系统状态、分析性能或进行调试。"枚举进程.列出所有进程来 得到进程...
易语言API例程枚举进程EnumProcesses
07-20
枚举进程(EnumProcesses)是Windows API中的一个函数,允许程序获取系统中正在运行的所有进程的标识符。在这个“易语言API例程枚举进程EnumProcesses”项目中,我们将深入探讨如何在易语言中调用这个API函数,以及...
枚举进程和PID_枚举进程和PID_
09-30
Windows操作系统中,枚举进程和获取进程标识符(PID)是系统管理和调试的重要功能。在 Delphi 这样的编程环境中,你可以通过使用 WinAPI 函数来实现这一目标。本项目"枚举进程和PID"显然是一个使用 Delphi 10.4.1 ...
9种枚举枚举进程的方法及实现
爱杀之爪的矩阵
07-02 1734
<br />//<br />//native api获得进程表<br />NTSTATUS NativeApiEnumProcess()<br />{<br /> ULONG pNeededSize=0;<br /> int iCount = 1;<br /> int bOver=0;<br /> NTSTATUS status;<br /> ULONG uSize;<br /> PVOID pSi=NULL; <br /> PSYSTEM_PROCESS_INFORMATION pSpiNext = NU
枚举进程——PspCidTable zz
摸爬滚打
05-05 1067
http://blog.youkuaiyun.com/strongxu/article/details/4959757 看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。
利用伪造内核文件来绕过IceSword的检测
斑竹的程序设计专栏
12-21 3387
创建时间:2005-12-20文章属性:转载文章提交:backspray (nimaozhi_at_163.com)作者:倪茂志邮件:backspray008@gmail.com完成于:2005.12.20文章分为八个部分:                一、为什么需要伪造内核                二、伪造内核文件                三、隐藏进程               
枚举PspCidTable利用API
Sunny_wwc的专栏
01-19 1759
<br />看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。当然也借鉴了别人的代码。<br />NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)<br />
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 9203
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
pspCidTable
Mr.Out的专栏
10-14 1218
<br /><br />一.                        pspCidTable概念及内核调试<br />-----------------------------------------------------<br /><br />pspCidTable是内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。<br />只要能遍历这个PspCidTable句柄表,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...<br /><br
隐藏进程
yaneng的专栏
06-18 1227
本人收集与网络,不知原作者是谁……一:序言下列情况不在讨论之中(没进程)1 通过CreateRemoteThread Inject代码到另一个进程(有种病毒就用这种方法,实现内存感染的;其实还有更多应用)2 通过CreateRemoteThread LoadLibray一dll到另一个进程(屏蔽Ctrl+Alt+Del,就是通过这种方法和SetWindowLog实现)二:进程隐藏1 Hook/In
pspcidtable杂谈
yaneng的专栏
06-18 1671
今天再次看了gz1X牛的文章,回忆了许多知识. 哈哈. 玩了很长时间游戏,写点儿文字算是对自责的一种安慰 要说R0枚举隐藏进程, 只是对没有抹掉PspCidTable而言的.gz1X牛提示了2种方法:Quote::1. 利用未导出的ExEnumHandleTable函数2. 获取PHANDLE_TABLE_ENTRY等,然后PsLookupProcessByProcessId 偶觉得都
简单枚举类型——植物与颜色
最新发布
02-28
下面展示如何通过组合两个属性——植物名称和其对应的典型颜色——构建这样的枚举。 #### 使用C++定义植物与颜色的枚举类型 在 C++ 中可以通过自定义构造函数以及重载运算符的方式使枚举成员携带额外的信息,比如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值