手工分析句柄表

手动解析句柄表
最新推荐文章于 2022-11-15 16:15:39 发布
原创 最新推荐文章于 2022-11-15 16:15:39 发布 · 811 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#object #file #c #header #table #image

今天的随笔写点如何用内核调试器“手工”分析句柄表,小儿科的伎俩~
结合 Russinovich 的工具 Handle 正好可以验证我手工分析的正确性
平台是 Win-XP SP2
高手权当消遣~
 因为我也就是当消遣才写的

// 拿进程 SYSTEM 开刀 //
Handle v3.2
Copyright (C) 1997-2006 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
System pid: 4 NT AUTHORITY/SYSTEM
340: File (---)   C:/Documents and Settings/WangYu/Local Settings/Application Data/Microsoft/Windows/UsrClass.dat
7D8: File (R--)   D:/System Volume Information/_restore{B546FFD0-E3B9-4B2D-AFB2-DD50CA238520}/RP123/change.log
880: File (---)   C:/Documents and Settings/LocalService/Local Settings/Application Data/Microsoft/Windows/UsrClass.dat
884: File (---)   C:/Documents and Settings/LocalService/ntuser.dat.LOG
88C: File (---)   C:/Documents and Settings/LocalService/Local Settings/Application Data/Microsoft/Windows/UsrClass.dat.LOG
8A0: File (---)   C:/Documents and Settings/LocalService/NTUSER.DAT
8E0: File (---)   C:/Documents and Settings/WangYu/NTUSER.DAT
8E4: File (---)   C:/Documents and Settings/WangYu/ntuser.dat.LOG
8E8: File (---)   C:/Documents and Settings/WangYu/Local Settings/Application Data/Microsoft/Windows/UsrClass.dat.LOG
998: File (---)   C:/WINDOWS/system32/config/SAM.LOG
9E8: File (---)   C:/WINDOWS/system32/config/default
9F4: File (---)   C:/WINDOWS/system32/config/system.LOG
9FC: File (---)   C:/WINDOWS/system32/config/default.LOG
A80: File (---)   C:/WINDOWS/system32/config/software.LOG
A88: File (---)   C:/WINDOWS/system32/config/software
A94: File (---)   C:/WINDOWS/system32/config/SECURITY.LOG
A98: File (---)   C:/WINDOWS/system32/config/system
A9C: File (---)   C:/WINDOWS/system32/config/SAM
AA8: File (---)   C:/Documents and Settings/NetworkService/Local Settings/Application Data/Microsoft/Windows/UsrClass.dat
AD0: File (---)   C:/Documents and Settings/NetworkService/NTUSER.DAT
ADC: File (---)   C:/Documents and Settings/NetworkService/ntuser.dat.LOG
AE0: File (---)   C:/Documents and Settings/NetworkService/Local Settings/Application Data/Microsoft/Windows/UsrClass.dat.LOG
AF4: File (R--)   C:/System Volume Information/_restore{B546FFD0-E3B9-4B2D-AFB2-DD50CA238520}/RP123/change.log
B9C: File (---)   C:/WINDOWS/system32/config/SECURITY
BAC: File (-W-)   C:/pagefile.sys
------------------------------------------------------------------------------
smss.exe pid: 908 NT AUTHORITY/SYSTEM
...................................
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
// 先用 !handle 命令解析进程"4"的句柄"340",以作为我下面手工解析的对照 //
// 每一个进程都有一个进程句柄表,EPROCESS中objecttable就是handletable
//而handletable中第一项就是tablecode。
//tablecode是分级的,最后两位表示0,1,2三个级别。
//0级句柄表为基本表,由HANDLE_TABLE_ENTRY结构组成(8byte)。一个基本表大小为1k,有1k/8=512个表项(第一个表项//无效,可用的就有511个),因为句柄索引以4步进,因此一个基本表项最大句柄索引是 512*4=0x800。

0: kd> !handle 340 7 4
processor number 0, process 00000004
Searching for Process with Cid == 4
PROCESS 89e31830 SessionId: none Cid: 0004    Peb: 00000000 ParentCid: 0000
    DirBase: 0a480020 ObjectTable: e1000e80 HandleCount: 425.
    Image: System
Handle table at e1817000 with 425 Entries in use
0340: Object: 89a3e6f0 GrantedAccess: 00000003 (Protected) Entry: e1004680
Object: 89a3e6f0 Type: (89e63ad0) File
    ObjectHeader: 89a3e6d8 (old version)
        HandleCount: 1 PointerCount: 4
        Directory Object: 00000000 Name: /Documents and Settings/WangYu/Local Settings/Application Data/Microsoft/Windows/UsrClass.dat {HarddiskVolume1}

// 手工解析从 ObjectTable 开始 //
//objectTable = e1817001 最后两位为1,两级句柄
//二级句柄表地址:e1817000

0: kd> dd e1000e80
e1000e80 e1817001 00000000 00000004 00000000
e1000e90 00000000 00000000 00000000 e14533bc
e1000ea0 80564aa8 00000000 00000000 00000000
e1000eb0 000005e4 00000c28 00001000 000001a9
e1000ec0 00000000 ffffffff 0c03040a 54446d4d
e1000ed0 00000002 89e822e8 89e82278 00000000
e1000ee0 0c040403 54446d4d 0074004e 00730066
e1000ef0 0073002e 00730079 00000000 00000000
//二级句柄表有两项,代表两个一级句柄表
0: kd> dd e1817000
e1817000 e1004000 e1818000 00000000 00000000
e1817010 00000000 00000000 00000000 00000000
e1817020 00000000 00000000 00000000 00000000
e1817030 00000000 00000000 00000000 00000000
e1817040 00000000 00000000 00000000 00000000
e1817050 00000000 00000000 00000000 00000000
e1817060 00000000 00000000 00000000 00000000
e1817070 00000000 00000000 00000000 00000000
// 1级句柄表第一项(即0级句柄表)里的内容,我们要分析的句柄 "0x340" 位于第 D0h 个
// (第一项handle_table_entry无效)
// 因为句柄索引以4步进,0x340句柄为0x340/4=0xD0个索引,每个索引项为8byte,因此句柄项偏移
// e1004000+(0x340/4)*8既 e1004000+0x340*2
0: kd> dd e1004000
e1004000 00000000 fffffffe 89e31819 001f0fff
e1004010 89e30019 00000000 e10003e9 00000000
e1004020 e1449139 000f003f e143b1b9 00020019
e1004030 e144b139 00020019 e14534a9 0002001f
e1004040 e1453431 00020019 e144a541 00020019
e1004050 e145d639 00020019 e1011791 0002001f
e1004060 e144a499 00020019 89e1a4b9 001f0003
e1004070 00000000 00000040 00000000 000000a0
// 也就是它 //
0: kd> dd e1004000+D0*8
e1004680 89a3e6d9 02000003 00000000 00000744
e1004690 00000000 00000338 00000000 00000348
e10046a0 00000000 0000034c 89dd7929 0012019f
e10046b0 00000000 00000350 00000000 00000358
e10046c0 00000000 0000035c 00000000 00000360
e10046d0 00000000 00000364 00000000 00000368
e10046e0 00000000 0000036c 00000000 00000370
e10046f0 00000000 00000374 00000000 00000378
// 然后计算一下
// handle_table_entry 的object:89a3e6d9  grantedaccess:02000003
// 89a3e6d9 不是对象指针,因为object对象以8字节对齐,所以最后三位用于标记
// 掩去最后三位就得到object_header指针,object_header指针头后接的是object_body
// object_header+0x18(指针头大小)就得到object_body
0: kd> ?(89a3e6d9&fffffff8)+18
Evaluate expression: -1985747216 = 89a3e6f0
// 看看,我手工解析句柄表也不赖吧 ^_^ //
0: kd> !object 89a3e6f0
Object: 89a3e6f0 Type: (89e63ad0) File
    ObjectHeader: 89a3e6d8 (old version)
    HandleCount: 1 PointerCount: 4
    Directory Object: 00000000 Name: /Documents and Settings/WangYu/Local Settings/Application Data/Microsoft/Windows/UsrClass.dat {HarddiskVolume1}
// 多来点信息 //
0: kd> dt nt!_OBJECT_HEADER 89a3e6f0-18
   +0x000 PointerCount     : 4
   +0x004 HandleCount      : 1
   +0x004 NextToFree       : 0x00000001
   +0x008 Type             : 0x89e63ad0 _OBJECT_TYPE
   +0x00c NameInfoOffset   : 0 ''
   +0x00d HandleInfoOffset : 0x18 ''
   +0x00e QuotaInfoOffset : 0 ''
   +0x00f Flags            : 0x46 'F'
   +0x010 ObjectCreateInfo : 0x00000001 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : 0x00000001
   +0x014 SecurityDescriptor : (null)
   +0x018 Body             : _QUAD
0: kd> dt nt!_OBJECT_TYPE 0x89e63ad0
   +0x000 Mutex            : _ERESOURCE
   +0x038 TypeList         : _LIST_ENTRY [ 0x89dea220 - 0x88963150 ]
   +0x040 Name             : _UNICODE_STRING "File"
   +0x048 DefaultObject    : 0x0000005c
   +0x04c Index            : 0x1c
   +0x050 TotalNumberOfObjects : 0x170c
   +0x054 TotalNumberOfHandles : 0x4e6
   +0x058 HighWaterNumberOfObjects : 0x173b
   +0x05c HighWaterNumberOfHandles : 0x56e
   +0x060 TypeInfo         : _OBJECT_TYPE_INITIALIZER
   +0x0ac Key              : 0x656c6946
   +0x0b0 ObjectLocks      : [4] _ERESOURCE
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
// 再来分析一下句柄 "BAC" 就收工 //
0: kd> !handle BAC 7 4
processor number 0, process 00000004
Searching for Process with Cid == 4
PROCESS 89e31830 SessionId: none Cid: 0004    Peb: 00000000 ParentCid: 0000
    DirBase: 0a480020 ObjectTable: e1000e80 HandleCount: 425.
    Image: System
Handle table at e1817000 with 425 Entries in use
0bac: Object: 89cce770 GrantedAccess: 00140003 Entry: e1818758
Object: 89cce770 Type: (89e63ad0) File
    ObjectHeader: 89cce758 (old version)
        HandleCount: 1 PointerCount: 2
        Directory Object: 00000000 Name: /pagefile.sys {HarddiskVolume1}

// 显然这个句柄位于1级句柄表第二项(即0级句柄表)里,索引值是0xeb //
0: kd> ?bac/4-200
Evaluate expression: 235 = 000000eb
// 就是它了 //
0: kd> dd e1818000+eb*8
e1818758 89cce759 00140003 00000000 00000a28
e1818768 89aaebd9 0012019f 89ace7f1 0012019f
e1818778 89b075e9 0012019f 89a59149 0012019f
e1818788 89afccf1 0012019f 89d7f0c9 0012019f
e1818798 89a81cf1 0012019f 89c81159 0012019f
e18187a8 89c720c9 0012019f 89d5d0c9 0012019f
e18187b8 89b0abf9 0012019f 89b090c9 0012019f
e18187c8 89b13a81 0012019f 89c8f0c9 0012019f
// 计算一下 //
0: kd> ?(89cce759&fffffff8)+18
Evaluate expression: -1983060112 = 89cce770
// OK! 睡觉了! //
0: kd> !object 89cce770
Object: 89cce770 Type: (89e63ad0) File
    ObjectHeader: 89cce758 (old version)
    HandleCount: 1 PointerCount: 2
    Directory Object: 00000000 Name: /pagefile.sys {HarddiskVolume1}

编译原理实验五:LR语法分析器的控制程序
梁辰兴的博客
05-17 1290
11,创建输出结果的文件par_r.txt,右击【资源文件】——选择【添加】——单击【新建项】。5,选择【C++文件】——输入项目文件名称【shiyan5.cpp】——单击【添加】按钮。7,创建测试文件lex_r.txt,右击【资源文件】——选择【添加】——单击【新建项】。8,这里不选择文件格式,直接输入完整的文件名【lex_r.txt】——单击【添加】按钮。3,选择【空项目】——输入项目名称【shiyan5】——单击【确认】按钮。4,右击【源文件】——选择【添加】——单击【新建项】。
Windows 句柄泄露学习总结
bcbobo21cn的专栏
03-19 9109
句柄泄露实例分析 http://www.cnblogs.com/Leo_wl/p/5397274.html 在上篇文章.NET对象与Windows句柄(二):句柄分类和.NET句柄泄露的例子中,我们有一个句柄泄露的 例子。例子中多次创建和Dispose了DataReceiver和DataAnalyzer对象,但由于忘记调用DataAnalyzer的 Stop方法,导
参考虚幻引擎UObjectBase类源代码定义出 UObject对象成员的偏移量
AppNinja 开发手记
11-15 1291
【代码】虚幻引擎UObjectBase类源代码。
90天入门UE引擎开发--学习日记(32/100)
weixin_42229060的博客
09-26 1141
1.小球只跳一次补上这个蓝图(更优化)2.第一人称(先今天的)3.word笔记+ 第三人称(今天放在最后)蓝图进阶一(后面部分)蓝图进阶二(0-19-44)
Windowsx64内核对象管理分析
u013677637的博客
08-21 829
x64windows内核分析 内核对象管理
句柄泄露
maomao171314的专栏
07-31 4192
介绍   欢迎来到这个调试教程系列的第5篇。在这篇文章,我们会介绍Windows中的句柄,什么是句柄以及怎么调试句柄泄露。在读这篇文章之前,我希望你对前4篇文章掌握的都还不错。这一系列的文章并不是在重复WinDbg/NTSD的帮助文件,而是介绍实实在在的问题,它们是怎么一回事,以及如何解决它们。   什么是句柄   对于一个程序来说,句柄就是设备,文件,或其它一些系统对象或资源的实例。程序
跟我一起学习windows驱动编程(引用计数、上下文空间)
mofabang的专栏
10-27 1294
引用计数内核管理器为每个全局对象维护一个引用计数。 内核对象有一个对象头结构体_object_header。 _object_header里变量PointerCount和HandleCount,就是引用计数。 内核程序可以通过对象指针直接使用内核对象, 用户程序通过获取的有效HANDLE间接使用内核对象。WDF框架对象不是全局对象,因此,对象管理器不管理WDF框架对象。 通过句柄方式引用W
手工构建算符优先分析与识别句子
实验目标是理解和掌握算符优先分析技术,手工构建算符优先分析,并通过算符优先分析分析给定的句子。实验基于一个简单的文法G[E],包含了加法、乘法、指数运算以及括号和标识符的处理。提供的源代码示例用于演示...
LR(0)分析构造方法及其DFA生成技术
所谓活前缀,是指某个规范句型的前缀,且不超出其最右句柄的右端点,它是LR分析过程中可接受的部分输入序列。 构造LR(0)分析的第一步是扩展原始文法G为G’。通常将原起始符号S扩展为S' → S,并加入新的开始符号S...
第五章 语法分析——自下而上分析
analogyy的博客
05-16 2257
自下而上分析过程:边输入单词符号,边归约。核心问题:识别可归约串规范归约的定义:假定a是文法G的一个句子,我们称序列an,an-1,,a0是a的一个规范归约,如果此序列满足:  (1)  aan= aa  (2)  aa0为文法的开始符号,即aa0=S  (3)  对任何i,0 < i <= n, aai-1是从aai经把句柄替换成为相应产生式左部符号而得到的。句柄:一个句型的最左直接...
lr 1 语法分析器c语言,LR语法分析
weixin_39669982的博客
05-20 2278
1LR语法分析器本节介绍一个有效的自底向上的分析技术,可以用于一大类上下文无关文法的语法分析。这种技术叫做LR(k)分析法,其中L示从左到右扫描输入串,R示构造一个最右推导的逆过程,k指的是在决定语法分析动作时需要向前看的符号个数。(k)省略时,假设k是1。LR分析富有吸引力的原因有以下几点:vLR语法分析器能识别几乎所有能用上下文无关文法描述的程序设计语言的结构。vLR分析法是已知的最...
利用windbg探索进程和进程上下文
热门推荐
一介渔夫
10-18 1万+
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则示打印最简单的信息。 0: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 821b7490 Session
深入理解句柄
rongwenbin的专栏
02-26 3867
设计到句柄的有以下这些概念 HANDLE_TABLE HANDLE_TABLE结构体中的TableCode变量 实际上啊,TableCode是指向句柄项第一个句柄项的指针(NULL句柄项) TableCode就是HANDLE_TABLE_ENTRY的指针 但是,当有两级以上时,这个时候就不是了,先来搞定最简单的。 HANDLE_TABLE_ENTRY:句柄项 对象头_OB
通过EPROCESS枚举进程
尘埃落定
08-27 1633
http://bbs.pediy.com/showthread.php?p=583402  网上的一段代码 通过内存搜索EPROCESS来枚举进程在我的xp sp2系统上测试 只能枚举出三个进程 这是为什么?关键代码如下:代码:VOID searchprocess(void){    ULONG    i;    ULONG    res
一种Object hook的思路和实现过程
09-11 2644
 作 者: sudami时 间: 2008-08-08,20:34链 接: http://bbs.pediy.com/showthread.php?t=70329 作者:sudami [sudami@163.com]时间:2008/08/08 主题:NtClose相关逆向关键词:Object/type/hook/OkayToCloseProcedure ----------------------
利用Procexp工具监控Windows平台上的Oracle数据库性能
weixin_34096182的博客
08-01 246
我们可以从http://technet.microsoft.com/en-us/sysinternals下载到Windows平台上的系统内部调试工具包,这些工具中大部分是由Mark Russinovich编写的,其中最为著名的tools包括进程管探测器(Process Explorer)、Regmon等。 这里我们要介绍的是使用Procexp工具监控Windows平台上的O...
32.windbg-!handle(句柄信息)
hgy413的专栏
10-21 6966
!handle !handle 扩展显示目标系统中一个或所有进程拥有的句柄的信息 0:001> !handle Handle 4 Type Directory Handle 8 Type File Handle c Type File Handle 10 Type Key Handle 14 Type
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值