Windows NT Session 的遍历和获取信息(原创)

最新推荐文章于 2021-08-30 09:15:53 发布
转载 最新推荐文章于 2021-08-30 09:15:53 发布 · 1.2k 阅读 · 1
文章标签:

#学习获取密码时对会话的学习

  本文中我将就遍历并 获取 当前 系统  Session 信息的 方法 进行详细 分析 ,并借此机会让大家能够从 Session 的角度对 W in NT 底层帐号和 权限管理 机制有更深入的了解。 文章 可能在 内容 上有所遗漏,希望大家补充和指正。

    虽然 Session 的概念非常重要,但因为其过于底层,除了处理用户登陆安全相关事务的程序员,它对高层开发基本上是透明的。故而这方面的介绍文章和工具实在不多。
    而要学习研究 Session,必要的文章和工具肯定是必不可少的,首推就是 www.sysinternals.com 提供的 LoggonSessions。这个小工具能够将当前系统所有正在使用的 Session 以及相关信息列举出来,加上 -p 参数还可以进一步列出 Session 包括的进程列表。但是 www.sysinternals.com 的牛人并没有给出源码,所以只有我们自己来实现一个功能完全相同的工具了。
    此外 Keith Brown 的 Handle Logons in Windows NT and Windows 2000 with Your Own Logon Session Broker 一文,以及文章所附源码工具 cmdasuser 也是必不可少的。此工具能够以指定用户身份,建立新的 Session,并载入用户配置和环境,创建一个完整的 Session 试验环境。
    最后就是 Jeffrey Richter 和 Jason Clark 在 Programming Server-Side Applications for Microsoft Windows 一书的第11章 User Context 中,提供的非常强大的令牌管理工具Token Master,可以查看当前系统任意进程、线程的令牌 (Token)。

    LoggonSessions 程序的功能实际上很容易实现,通过调用本机安全授权服务 (LSASS) 提供的 LsaEnumerateLogonSessions 函数枚举当前登陆会话,对每个会话调用 LsaGetLogonSessionData 函数获取进一步的会话信息。

NTSTATUS NTAPI LsaEnumerateLogonSessions(
  PULONG LogonSessionCount,
  PLUID* LogonSessionList
);

NTSTATUS LsaFreeReturnBuffer(
  PVOID Buffer
);
    LsaEnumerateLogonSessions 函数使用非常简单,直接返回会话数量和保存每个会话ID的数组。此数组每个元素是一个 LUID 类型,实际上就是一个 64bit 整数,使用完后通过 LSAFreeReturnBuffer 函数释放缓冲区。
NTSTATUS NTAPI LsaGetLogonSessionData(
  PLUID LogonId,
  PSECURITY_LOGON_SESSION_DATA* ppLogonSessionData
);
    对每个会话的 LUID,可以调用 LsaGetLogonSessionData 函数获取进一步的信息。此函数将返回一个保存会话信息的结构,使用完后通过 LSAFreeReturnBuffer 函数释放缓冲区。
typedef struct _SECURITY_LOGON_SESSION_DATA {
    ULONG Size;
    LUID LogonId;
    LSA_UNICODE_STRING UserName;
    LSA_UNICODE_STRING LogonDomain;
    LSA_UNICODE_STRING AuthenticationPackage;
    ULONG LogonType;
    ULONG Session;
    PSID Sid;
    LARGE_INTEGER LogonTime;
    LSA_UNICODE_STRING LogonServer;
    LSA_UNICODE_STRING DnsDomainName;
    LSA_UNICODE_STRING Upn;
} SECURITY_LOGON_SESSION_DATA, *PSECURITY_LOGON_SESSION_DATA;

    SECURITY_LOGON_SESSION_DATA 结构保存的会话数据包括:

    Size 保存此结构的大小,为兼容以后大小变化提供的可变数据模式

    LogonId 保存此 Session 的 LUID 内部编号,用户全局定位,如计算机登陆的 SYSTEM 帐号的 LogonId 为 999(0x3e7)

    UserName 和 LogonDomain 保存此 Session 的登陆帐号和域,以 LogonDomain\UserName 组合后就是完整帐号名,如 SKY\FLIER$ 或 FLIER\Administrator

    AuthenticationPackage 保存此 Session 的认证方式。一般来说本机都是 NTLM,网络会话是 Negotiate

    LogonType 则相对复杂,除了最常见的交互登陆和网络登陆外,还有批处理和服务登陆,以及更少见的代理等方式

typedef enum _SECURITY_LOGON_TYPE {
    Interactive = 2,    // Interactively logged on (locally or remotely)
    Network,            // Accessing system via network
    Batch,              // Started via a batch queue
    Service,            // Service started by service controller
    Proxy,              // Proxy logon
    Unlock,             // Unlock workstation
    NetworkCleartext,   // Network logon with cleartext credentials
    NewCredentials,     // Clone caller, new default credentials
    RemoteInteractive,  // Remote, yet interactive.  Terminal server
    CachedInteractive   // Try cached credentials without hitting the net.
} SECURITY_LOGON_TYPE, *PSECURITY_LOGON_TYPE;

    更为完整的登陆类型列表在 LogonUserEx 函数的参数介绍中可以看到。

    交互式(Interactive)登陆就是用户通过计算机控制台以物理方式登陆到系统的会话;
    网络(Network)登陆则是通过网络邻居等方式远程访问此计算机时的会话;
    批处理(Batch)登陆一般在使用批处理队列时使用,如 COM SCM
    服务(Service)登陆则适用于后台服务以系统帐号运行,如 System SCM

    以上四种登陆类型是最为常见的,而附加的登陆类型适用于特殊情况

    代理(Proxy)登陆基本上很少被用到,MSDN里面干脆说此类型不被支持
    解锁(Unlock)登陆是当用户锁屏后,GINA与LogonUser函数配合进行解锁时用到
    网络明文(NetworkCleartext)登陆允许用户在通过 LogonUserEx 登陆到系统后,用户名和密码被保存以再次登陆到其他服务器
    新凭证(NewCredentials)登陆允许用户对本地访问使用克隆的当前令牌,当对外部网络连接使用单独的凭证
    远程交互(RemoteInteractive)登陆是终端服务连接到服务器时使用的登陆方式,允许与交互登陆类似的桌面操作,当无需在本地进行
    缓存交互(CachedInteractive)登陆则对用户的凭证进行缓存,避免冗余网络验证等等

    登陆类型直接决定了此会话的能力以及所受限制,后面有机会再分别解析

    Session 字段保存了一个显式会话编号。此编号一般是用户终端服务器,本地会话和交互登陆会话此编号都为 0,而远程交互登陆则能够获取新的编号。系统通过此编号,在对象管理器中,将 \BaseNamedObjects 映射到 \Sessions\1\ 等等名字空间中,有兴趣的朋友可以进一步参考 NT 对象管理器相关文章

    Sid 字段保存了此会话登陆帐号的 Sid,与前面的登陆名对应;

    LogonTime 则是一个非本地时区的 FILETIME 格式的时间,表示会话开始时间;

    最后的 LogonServer、DnsDomainName 和 Upn 则一般在使用活动目录时,提供帐号的进一步信息。

    在了解这些信息后,很容易就能写出一个遍历登陆会话信息的程序来,MSDN 中也提供了遍历和信息获取的两个例子。
在此,我只是把MSDN中的例子进行了扩展,具体内容用户可以参考程序。程序很乱不当之处很指正。并没有实现LoggonSessions中的/p参数功能。
#include 
#include 
#include
#include
// The following constant may be defined by including NtStatus.h.
#define STATUS_SUCCESS ((NTSTATUS)0x00000000L)

// The LSA authentication functions are available in Unicode only.
#define UNICODE

void GetSessionData(
     PLUID session
     );
BOOL GetTextualSid(
       PSID pSid,          // binary Sid
       LPTSTR TextualSid,  // buffer for Textual representaion of Sid
       LPDWORD cchSidSize  // required/provided TextualSid buffersize
       );

int _cdecl main()
{
 PLUID sessions;
 ULONG count;
 NTSTATUS retval;
 int i;
 
 wprintf(L"LogonSessions version 1.0 \n");
 wprintf(L"Copyright (c) 2007 suiyingjie \n");
 wprintf(L"SafeSofts - www.chinasafe.org.cn \n");
 
 retval = LsaEnumerateLogonSessions(&count, &sessions);
 
 if (retval != STATUS_SUCCESS) {
  wprintf (L"LsaEnumerate failed %lu\n",
   LsaNtStatusToWinError(retval));
  return 1;
 } 
 wprintf (L"\nEnumerate sessions received %lu sessions.\n", count);
 
 // Process the array of session LUIDs...
 for (i =0;i < (int) count; i++) {
  wprintf(L"\n[%lu] ", i);
  GetSessionData (&sessions[i]);
 }
 
 // Free the array of session LUIDs allocated by the LSA.
 LsaFreeReturnBuffer(sessions);
 return 0;
}

void GetSessionData(PLUID session)
{
 PSECURITY_LOGON_SESSION_DATA sessionData = NULL;
 NTSTATUS retval;
 WCHAR buffer[256];
 WCHAR *usBuffer;
 int usLength;
 
 // Check for a valid session.
 if (!session ) 
 {
  wprintf(L"Error - Invalid logon session identifier.\n");
  return;
 }
 // Get the session information.
 retval = LsaGetLogonSessionData (session, &sessionData);
 if (retval != STATUS_SUCCESS) 
 {
  // An error occurred. Tell the world.
  wprintf (L"LsaGetLogonSessionData failed %lu \n",
   LsaNtStatusToWinError(retval));
  // If session information was returned, free it.
  if (sessionData) 
  {
   LsaFreeReturnBuffer(sessionData);
  }
  return;
 } 
 // Determine whether there is session data to parse. 
 if (!sessionData) 
 { // no data for session
  wprintf(L"Invalid logon session data. \n");
  return;
 }
 
 // Get the user name.
 if (sessionData->UserName.Buffer != NULL) 
 {  
  usBuffer = (sessionData->UserName).Buffer;
  usLength = (sessionData->UserName).Length;
  if(usLength < 256)
  {
   lstrcpynW (buffer, usBuffer, usLength);
   lstrcatW (buffer,L"");
  }
  else
  {
   wprintf(L"User name too long for buffer. Exiting program.\n");
   exit(1);
  }
  
  wprintf(L"\tLogon session %08x:%08x \n", sessionData->LogonId.HighPart, sessionData->LogonId.LowPart); 
  
  wprintf (L"\tUser name: \t%s",buffer);    
  
 } 
 else 
 {
  wprintf (L"\nMissing user name.\n");
  LsaFreeReturnBuffer(sessionData);
  return;
 }
 
 // get logon method
 switch((SECURITY_LOGON_TYPE)sessionData->LogonType)
 {
 case Interactive:
  wprintf(L"\n\tLogon type: \tinteractively ");
  break;
 case Network:
  wprintf(L"\n\tLogon type: \tNetwork ");
  break;
 case Batch:
  wprintf(L"\n\tLogon type: \tBatch ");
  break;
 case Service:
  wprintf(L"\n\tLogon type: \tService ");
  break;
 case Proxy:
  wprintf(L"\n\tLogon type: \tProxy ");
  break;
 case Unlock:
  wprintf(L"\n\tLogon type: \tUnlock ");
  break;
 default:
  wprintf(L"\n\tLogon type: \tnone ");
  break;
 }
 
 // Get the authentication package name.
 memset(buffer, 0, 256);
 if (sessionData->AuthenticationPackage.Buffer != NULL) 
 {
  usBuffer = (sessionData->AuthenticationPackage).Buffer;
  usLength = (sessionData->AuthenticationPackage).Length;
  if(usLength < 256)
  {
   lstrcpynW (buffer, usBuffer, usLength);
   lstrcatW (buffer,L"");
  }
  else
  {
   wprintf(L"\nAuthentication package too long for buffer. Exiting program.");
   exit(1);
  }
  wprintf(L"\n\tAuth package: \t%s ",buffer);
 } 
 else
 {
  wprintf (L"\nMissing authentication package.");
  LsaFreeReturnBuffer(sessionData);
  return;
 }
 
 // Get the Terminal Services session identifier
 wprintf(L"\n\tSession: \t%d  ", sessionData->Session);
 
 // Get the SID
 char szSid[MAX_PATH];
 DWORD dwRet;
 dwRet = 255;
    GetTextualSid(sessionData->Sid, szSid, &dwRet);
 WCHAR wszSid[MAX_PATH];
 DWORD dwMinSize;
    dwMinSize = MultiByteToWideChar (CP_ACP, 0, szSid, -1, NULL, 0);
 MultiByteToWideChar (CP_ACP, 0, szSid, -1, wszSid, dwMinSize);  
 wprintf(L"\n\tSid: \t\t%s", wszSid);
 
 // get the logon time
 // LogonTime is a FILETIME 格式的时间表示方式。
 // typedef struct STRUCT tagFILETIME {
 // DWORD dwLowDateTime;
 //  DWORD dwHighDateTime;
 //  } FILETIME;
 FILETIME m_FileTime;
 m_FileTime.dwHighDateTime = sessionData->LogonTime.HighPart;
 m_FileTime.dwLowDateTime = sessionData->LogonTime.LowPart;
 CTime m_Time(m_FileTime);
 wprintf(L"\n\tLogon time: \t%04d-%02d-%02d %02d:%02d:%02d", m_Time.GetYear(), m_Time.GetMonth(), m_Time.GetDay(), m_Time.GetHour(), m_Time.GetMinute(), m_Time.GetSecond());
 
 // Get the Logon server.
 memset(buffer, 0, 256);
 if(sessionData->LogonServer.Buffer != NULL)
 {
  usBuffer = (sessionData->LogonServer).Buffer;
  usLength = (sessionData->LogonServer).Length;
  if(usLength < 256)
  {
   lstrcpynW (buffer, usBuffer, usLength);
   lstrcatW (buffer,L"");
  }
  else
  {
   wprintf(L"Logon server too long for buffer. Exiting program.\n");
   exit(1);
  }
  wprintf(L"\n\tLogon server: \t%s", buffer);
 }
 else
 {
  wprintf(L"\n\tLogon server: \t<none>");
 }
 
 // Get the domain name.
 memset(buffer, 0, 256);
 if (sessionData->LogonDomain.Buffer != NULL)
 {
  usBuffer = (sessionData->LogonDomain).Buffer;
  usLength = (sessionData->LogonDomain).Length;
  if(usLength < 256)
  {
   lstrcpynW (buffer, usBuffer, usLength);
   lstrcatW (buffer,L"");
  }
  else
  {
   wprintf(L"\nLogon domain too long for buffer. Exiting program.\n");
   exit(1);
  }
  wprintf(L"\n\tDNS domain: \t%s ",buffer);
 } 
 else 
 {
  wprintf (L"\nMissing authenticating domain information. \n");
  LsaFreeReturnBuffer(sessionData);
  return;
 }
 
 // get the user principal name (UPN) for the owner of the logon session. 
 memset(buffer, 0, 256);
 if(sessionData->Upn.Buffer != NULL)
 {
  usBuffer = (sessionData->Upn).Buffer;
  usLength = (sessionData->Upn).Length;
  if(usLength < 256)
  {
   lstrcpynW (buffer, usBuffer, usLength);
   lstrcatW (buffer,L"");
  }
  else
  {
   wprintf(L"Upn too long for buffer. Exiting program.\n");
   exit(1);
  }
  wprintf(L"\n\tUPN: \t%s\n",  buffer);
 }
 else
 {
  wprintf(L"\n\tUPN: \t<none> \n");
 }
 
 // Free the memory returned by the LSA.
 LsaFreeReturnBuffer(sessionData);
 return;
}


// 得到SID的字符串表示。
BOOL GetTextualSid(
       PSID pSid,          // binary Sid
       LPTSTR TextualSid,  // buffer for Textual representaion of Sid
       LPDWORD cchSidSize  // required/provided TextualSid buffersize
       )
{
    PSID_IDENTIFIER_AUTHORITY psia;
    DWORD dwSubAuthorities;
    DWORD dwCounter;
    DWORD cchSidCopy;
 
    //
    // test if Sid passed in is valid
    //
    if(!IsValidSid(pSid)) return FALSE;
 
    // obtain SidIdentifierAuthority
    psia = GetSidIdentifierAuthority(pSid);
 
    // obtain sidsubauthority count
    dwSubAuthorities = *GetSidSubAuthorityCount(pSid);
 
    //
    // compute approximate buffer length
    // S-SID_REVISION- + identifierauthority- + subauthorities- + NULL
    //
    cchSidCopy = (15 + 12 + (12 * dwSubAuthorities) + 1) * sizeof(TCHAR);
 
    //
    // check provided buffer length.
    // If not large enough, indicate proper size and setlasterror
    //
    if(*cchSidSize < cchSidCopy) {
        *cchSidSize = cchSidCopy;
        SetLastError(ERROR_INSUFFICIENT_BUFFER);
        return FALSE;
    }
 
    //
    // prepare S-SID_REVISION-
    //
    cchSidCopy = wsprintf(TextualSid, TEXT("S-%lu-"), SID_REVISION );
 
    //
    // prepare SidIdentifierAuthority
    //
    if ( (psia->Value[0] != 0) || (psia->Value[1] != 0) ) {
        cchSidCopy += wsprintf(TextualSid + cchSidCopy,
   TEXT("0x%02hx%02hx%02hx%02hx%02hx%02hx"),
   (USHORT)psia->Value[0],
   (USHORT)psia->Value[1],
   (USHORT)psia->Value[2],
   (USHORT)psia->Value[3],
   (USHORT)psia->Value[4],
   (USHORT)psia->Value[5]);
    } else {
        cchSidCopy += wsprintf(TextualSid + cchSidCopy,
   TEXT("%lu"),
   (ULONG)(psia->Value[5]      )   +
   (ULONG)(psia->Value[4] <<  8)   +
   (ULONG)(psia->Value[3] << 16)   +
   (ULONG)(psia->Value[2] << 24)   );
    }
 
    //
    // loop through SidSubAuthorities
    //
    for(dwCounter = 0 ; dwCounter < dwSubAuthorities ; dwCounter++) {
        cchSidCopy += wsprintf(TextualSid + cchSidCopy, TEXT("-%lu"),
   *GetSidSubAuthority(pSid, dwCounter) );
    }
 
    //
    // tell the caller how many chars we provided, not including NULL
    //
    *cchSidSize = cchSidCopy;
 
    return TRUE;
}

编译环境:VC6+SP6+windows2003.
  

[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
Windows10 x64 获取PEB表,并获取ntdll基址
want的博客
10-31 3734
1.Windows通过TEB封装信息,TEB中包含PEB表,如图: 具体过程是从teb->peb->ldr->InInitializationOrderModuleList->dll模块基址,经过一系列的结构体偏移得到模块初始化装载顺序. 2.dt _TEB 可以看到PEB表偏移 kd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x038 EnvironmentPointer : Ptr64
windows 远程桌面的session管理
Something的专栏
02-23 3731
1.查看有多少个session登陆了某台机器 qwinsta /server: 2.结束某次登陆session logoff sessionId> /server: 或者:rwinsta /server:SERVERIP SESSIONID rwinsta /server:10.10.1.10 2 可以通过qwinsta命令查看当前相应的sessi
windows server 查看当前会话标识 查看当前会话id 查看当前标识id 查看sessionid
weixin_37826215的博客
03-14 1250
tasklist | find /i "tasklist.exe"
讨论枚举当前Logon Session的问题
xbgprogrammer的专栏
11-11 4410
Windows提供了API函数LsaEnumerateLogonSessions 去枚举当前的Logon Session, Logon Session在msdn的定义是:       A logon session begins whenever a user logs on to a computer. All processes in a logon session have the sam
windows会话Session)、窗口站(WindowsStation)、桌面、窗口
顺其自然~专栏
08-30 4784
序 一个系统可以同登录多个用户(包括远程用户登录) 一个用户拥有一个会话(远程用户被称为远程会话) 一个会话拥有多个工作站窗口。只能拥有一个交互式工作站(Winsta0)。 一个会话拥有一系列私有的进程模块:Csrss.exe、WinLogin.exe、win32k.sys 一个会话拥有一个私有对象名字空间(\BaseNamedObjects),私有对象名字空间中的内核对象不能被其他会话访问。 一个交互式工作站最少拥有三个桌面:默认桌面、登陆桌面、屏...
Windows NT Session 概念的原理与应用浅析 [1] 遍历获取信息
chenyujing1234的专栏
10-15 3037
转载自: http://www.cnblogs.com/flier/archive/2004/07/19/25709.html   我在上一篇文章《DACL, NULL or not NULL》中曾简要地介绍了 Windows 系统中 Session 的概念,并且通过一个自己编写的小工具 KeSession 列出当前系统 Session 信息。本文中我将就遍历获取当前系统 Session
X64进程遍历获取进程主线程
qq_36453052的博客
12-03 2363
x64下windbg显示的进程结构体 1: kd> dt _SYSTEM_PROCESS_INFORMATION ole32!_SYSTEM_PROCESS_INFORMATION    +0x000 NextEntryOffset  : Uint4B    +0x004 NumberOfThreads  : Uint4B    +0x008 WorkingSetPrivateSize
高频网络协议与编程IO相关面试基本问题知识点整理
热门推荐
张彦峰的博客
04-07 172万+
网络IO相关基本高频面试基本问题知识点整合
Windows NT引导过程源代码分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-11 5870
Windows 引导过程 Windows 内核中的各个组件各种机制在起作用以前,必须首先被初始化。此初始化工作是在系统引导完成的。当用户打开计算机的电源开关,计算机便开始运行,但操作系统并不立即获得控制权,而是BIOS 代码首先获得控制,它执行必要的硬件检测工作,并允许用户通过一些功能键来配置当前系统中的硬件设置,甚至诊断硬件问题,然后才将控制权交给操作系统。 1.1 内核加载 在In
LogonUser[advapi32.dll] 验证当前账户是否有密码
_STONER_
07-04 2928
Code #include &amp;lt;windows.h&amp;gt; #include &amp;lt;Ntsecapi.h&amp;gt; #include &amp;lt;stdio.h&amp;gt; #pragma comment(lib, &quot;Secur32.lib&quot;) int main() { WCHAR UserName[256] = {0}; ULO
ReadPwd读windows内存中明文密码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-22 1545
此程序是看雪论坛中秋节发出来的一个逆向作品,逆向的目标就是曾经介绍过的mimikatz,直接把取密码的过程简化到了一起。 之前看到有人就是拿来编译了一下也要在前面加好多什么来自某某黑客啦什么什么的,很蛋疼,也可能是大家连编译都懒得编译了,直接拿来主义吧,嘿嘿,这里发个原版的,不含任何广告链接自我宣传什么的。 这事让我想到了前一段用搜索引擎检测了一下,发现自己的好多文章都给抄去了,有
Enumerating Logon Sessions
weixin_33910385的博客
01-14 452
Introduction For quite a number of applications or services, it might be useful to know, whether a user is currently interactively logged on to a machine or not. Depending on a user currently logged ...
关于WTSRegisterSessionNotification函数的介绍及使用
chenyujing1234的专栏
02-16 1万+
不知道大家注意到没有,Windows XP新增加了一个快速切换用户的功能。它可以让您在不注销的情况下在用户之间进行切换,而且每个用户有自己独立的配置文件桌面。也就是说当您切换到另外 一个用户(即用另外一个账号登陆,以前的那个用户运行的所有程序都还是在运行的,并没有退出来。这就给我们的开发带来了新的问题。比如您的应用程序提 供的功能在多个用户同运行发生错误,您必须为应用程序添加代码以检
windows windowsserver windows server 查看当前会话标识 查看当前会话id 查看当前标识id 查看sessionid
gaolong19931208的博客
05-28 2338
新建txt 编辑 tasklist | find /i "tasklist.exe" pause 后缀改为bat 运行bat 倒数第二项为会话标识 下次登陆服务器可以指定会话(未验证!!!) 下次登陆服务器先随便选一个会话,然后打开任务管理器(ctrl+shift+del)[ctrl+shift+esc],选择 用户 ,选择 标识,右键 连接! ...
穿透Session 0 隔离(一)
weixin_34405557的博客
04-07 459
     服务(Service)对于大家来说一定不会陌生,它是Windows 操作系统重要的组成部分。我们可以把服务想像成一种特殊的应用程序,它随系统的“开启~关闭”而“开始~停止”其工作内容,在这期间无需任何用户参与。      Windows 服务在后台执行着各种各样任务,支持着我们日常的桌面操作。有候可能需要服务与用户进行信息或界面交互操作,这种方式在XP 代是没有问题的,但自从Vis...
WINDOWS session管理初识2
weixin_30932215的博客
07-01 292
前置知识:同一个Session的进程的eprocess->session指向的值都是一样 在1中,我们知道smss.exe创建新的session,然后启动新的csrss.exewinlogon.exe。 它的管理是这样的 //先看一个宏定义 #define SESSION_GLOBAL(_Session) (_Session->GlobalVirtualAddress)...
WRITE_ADDRESS: unable to get nt!PspSessionIdBitmap ffff8000000004f8
最新发布
07-17
<think>我们正在处理一个Windows内核调试问题,用户遇到了`WRITE_ADDRESS`错误,无法获取`nt!PspSessionIdBitmap`符号的地址。根据用户提供的引用[1],我们得知调试会话的符号路径已设置为Microsoft的符号服务器,并且系统是Windows 10(内核版本19041)。用户还提供了蓝屏分析信息。 问题分析: 1. 错误信息:`unable to get nt!PspSessionIdBitmap`,通常是由于符号未正确加载或符号不匹配。 2. 引用[1]中显示内核版本为19041(Windows 10 20H1),但字符串中却显示“Windows 7 Kernel Version 19041”,这可能是由于版本信息字符串的遗留问题,实际是Windows 10。 3. 引用[1]中显示系统运行了约2小,然后蓝屏。 解决方案: 根据之前的回答,我们首先需要确保符号正确加载。用户已经设置了符号服务器,但可能由于网络问题或版本不匹配导致符号加载失败。此外,`PspSessionIdBitmap`是一个未公开的符号,可能在部分版本中不存在或名称不同。 步骤: 1. **验证符号加载**: 在WinDbg中执行以下命令: ```windbg .reload /f ntoskrnl.exe x nt!PspSessionIdBitmap ``` 如果输出显示符号不存在,则可能是符号不匹配或该符号在当前内核版本中不可用。 2. **检查内核版本**: 使用`vertarget`命令确认内核版本: ```windbg vertarget ``` 输出应类似: ``` Windows 10 Kernel Version 19041 MP (24 procs) Free x64 ``` 3. **检查符号间戳**: 使用`!lmi nt`命令查看内核模块的详细信息,确保符号文件的间戳与内核匹配: ```windbg !lmi nt ``` 在输出中检查“Checksum”“Time stamp”是否匹配。 4. **手动计算地址(如果符号确实不存在)**: 如果`PspSessionIdBitmap`符号不存在,我们可以尝试通过相关函数(如`PspGetSessionIdEx`)来定位。例如: ```windbg u nt!PspGetSessionIdEx ``` 在反汇编中,我们可能会看到对`PspSessionIdBitmap`的引用(通常是一个全局变量)。例如,如果看到类似: ``` mov rax, qword ptr [nt!PspSessionIdBitmap] ``` 那么我们可以从这条指令的地址中提取出`PspSessionIdBitmap`的地址。 但是,如果该函数中也没有引用,则可能需要通过其他方式获取会话信息,例如通过进程结构(`_EPROCESS`)中的`SessionId`字段。 5. **替代方案:从进程结构获取会话ID**: 我们可以枚举进程,然后从每个进程的`_EPROCESS`结构中提取`SessionId`: ```windbg !process 0 0 ``` 然后选择一个进程,例如系统进程: ```windbg dt nt!_EPROCESS <Address> SessionId ``` 6. **如果符号存在但地址访问错误**: 如果符号存在,但访问其地址出现`WRITE_ADDRESS`错误,可能是因为该地址位于只读内存页。我们可以使用`!pte`命令检查页表属性: ```windbg !pte nt!PspSessionIdBitmap ``` 如果显示只读,我们可以尝试临修改内存保护(仅用于调试,不推荐在生产环境中使用): ```windbg ed nt!MmSystemRangeStart 0 ; 临禁用内存保护(危险,仅用于调试) db nt!PspSessionIdBitmap L8 ; 读取内存 ``` 之后记得恢复: ```windbg ed nt!MmSystemRangeStart fffff780`00000000 ; 恢复默认值 ``` 根据用户提供的引用[4],我们还可以通过任意地址读来泄露信息,但这是在用户态漏洞利用中的技术,在内核调试中通常不需要。 具体到用户的问题,错误地址`ffff8000000004f8`看起来是一个无效地址(通常内核地址在64位系统上是高半区,如0xFFFF...)。这可能是由于符号未解析导致地址为0或错误值。 因此,我们首先集中解决符号问题。 操作步骤: a) 确保符号路径正确,并强制重载: ```windbg .symfix .reload /f ntoskrnl.exe ``` b) 如果仍然无法解析`nt!PspSessionIdBitmap`,考虑该符号可能已被重命名或移除。我们可以尝试搜索类似符号: ```windbg x nt!*Session* ``` 查找可能的替代符号。 c) 如果上述步骤都失败,我们可以通过内核结构`_MM_SESSION_SPACE`来获取会话信息。首先获取系统进程(System)的`_EPROCESS`地址,然后通过其`Session`字段找到会话空间,进而获取会话ID。 示例: ```windbg !process 0 0 System .process /i <System进程地址> dt nt!_EPROCESS <System进程地址> Session dt nt!_MM_SESSION_SPACE <Session指针> SessionId ``` 注意:在切换进程上下文需要先附加到进程(使用`.process /i`)。 考虑到用户的实际需求是获取会话ID位图,而如果无法直接获取,我们可以通过遍历所有进程的会话ID来构建一个位图(但这不是最高效的方法,仅用于调试目的)。 生成的相关问题: 1. 如何正确设置Windows内核调试的符号路径? 2. 在WinDbg中如何验证符号文件与内核模块是否匹配? 3. 有哪些方法可以获取Windows系统的会话ID? 4. 如何在内核调试中绕过只读内存页保护? 5. 如何通过WinDbg遍历所有进程并提取会话ID? 根据以上分析,我们给出具体步骤:</think>### 解决 Windows 内核调试中无法获取 nt!PspSessionIdBitmap 符号的问题 #### 问题分析 根据引用[1]的系统信息: - 内核版本:Windows 7 Kernel Version 19041(实际为 Windows 10 20H1) - 系统运行间:约 2 小 - 错误类型:`WRITE_ADDRESS` 错误 - 具体报错:`unable to get symbol nt!PspSessionIdBitmap ffff8000000004f8` 核心问题:**符号解析失败** 导致无法访问 `nt!PspSessionIdBitmap`,该符号是 Windows 会话管理的关键数据结构。 --- ### 解决方案步骤 #### 1. 验证并修复符号加载 ```windbg .symfix c:\symbols ! 设置符号服务器路径 .reload /f ntoskrnl.exe ! 强制重载内核符号 !lmi ntoskrnl ! 验证符号状态 ``` **预期输出**: ``` Loaded symbol image file: ntoskrnl.exe Image path: ntoskrnl.exe Image name: ntoskrnl.exe Timestamp: 5F41E587 ! 间戳必须匹配 Checksum: 0038F2B4 ``` 若间戳不匹配(如引用[1]的 `Built by: 19041.1.amd64fre.vb_release.191206-1406`),需下载对应 PDB: 1. 通过 `vertarget` 获取精确版本号 2. 从 [Microsoft 符号服务器](https://msdl.microsoft.com/download/symbols) 手动下载 3. 使用 `.sympath+ c:\custom_symbols` 添加路径 #### 2. 手动定位符号地址 若符号仍无法解析(常见于未公开符号): ```windbg !process 0 0 System ! 获取系统进程地址 .process /i fffffa8012345678 ! 附加到系统进程 r $t1 = poi(nt!PspGetSessionIdEx+0x20) ! 通过相关函数偏移定位 db $t1 L8 ! 验证地址内容 ``` #### 3. 绕过内存保护 若出现 `PAGE_READONLY` 错误(如引用[4]的内存访问技术): ```windbg !pte nt!PspSessionIdBitmap ! 检查页表属性 !vprot ffff8000000004f8 ! 验证地址保护 ed nt!MmSystemRangeStart 0 ! 临禁用内存保护 db ffff8000000004f8 L8 ! 读取目标地址 ed nt!MmSystemRangeStart fffff78000000000 ! 恢复保护 ``` #### 4. 替代方案获取会话信息 若仍失败,通过进程结构间接获取: ```windbg !process 0 0 ! 列出所有进程 dt nt!_EPROCESS fffffa8012345678 SessionId ! 提取会话ID r $t2 = poi(fffffa8012345678+0x2e0) ! 通过_EPROCESS.Session 偏移 ``` --- ### 关键命令详解 | 命令 | 作用 | 示例输出 | |------|------|----------| | **`!chksym nt!Psp*`** | 检查符号完整性 | `Symbol nt!PspSessionIdBitmap matches` | | **`!pte ffff8000000004f8`** | 检查页表项 | `PXE at FFFFF6FB7DBED000 ... contains 1A000004F867F867` | | **`.shell -ci "!process" grep Session`** | 批量提取会话ID | `fffffa8012345678 SessionId: 1` | --- ### 常见错误处理 | 错误类型 | 解决方案 | 验证方法 | |---------|----------|----------| | **SYMBOL_NOT_FOUND** | 手动下载 PDB 文件 | `!lmi ntoskrnl` | | **PAGE_FAULT** | 临禁用内存保护 | `!vprot <address>` | | **INVALID_ADDRESS** | 通过函数偏移计算 | `u nt!PspGetSessionIdEx L5` | | **VERSION_MISMATCH** | 下载精确版本符号 | `vertarget` | > **注意**:`nt!PspSessionIdBitmap` 是未公开符号,在部分 Windows 版本中可能被重命名或移除。若上述方法失败,建议使用公开的会话管理 API 如 `NtQuerySystemInformation`(引用[3])。 --- ### 替代方案:直接提取会话信息 ```windbg .for_each (proc { !process -1 0 } ) { .if ($spat("${proc}", "*SessionId*")) { .echo ${proc} } } !session ! 显示所有会话信息 dt nt!_MM_SESSION_SPACE ! 分析会话结构 ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值