x64驱动 遍历 PspCidTable 枚举隐进程和线程

最新推荐文章于 2025-03-11 15:49:00 发布
原创 最新推荐文章于 2025-03-11 15:49:00 发布 · 3.5k 阅读 · 18
本文深入探讨了PspCidTable的结构和工作原理,包括如何获取其地址,手动查询及解密过程,适用于Win7到Win10系统。通过代码示例展示了遍历进程和线程的方法。

介绍

PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。

获取 PspCidTable 地址

win7:

PsLookupProcessByProcessId(被导出) -> PspCidTable

win10:

PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -> PspCidTable

手动查询 PspTable

打开 WinDbg,输入: dp PspCidTable
得到 PspTable 地址 ——
在这里插入图片描述
输入 dt _handle_table 0xffffc300d9016a80
在这里插入图片描述
TableCode 是指向句柄表的指针,低二位(二进制)记录句柄表的等级:0(00)表示一级表,1(01)表示二级表,2(10)表示三级表。这里的 0xffffc300`dda6f001 就说名它是一个二级表。

一级表里存放的就是进程和线程对象(加密过的,需要一些计算来解密),二级表里存放的是指向某个一级表的指针,同理三级表存放的是指向二级表的指针。

x64 系统中,每张表的大小是 0x1000(4096),一级表中存放的是 _handle_table_entry 结构(大小 = 16),二级表和三级表存放的是指针(大小 = 8)。

我们对 0xffffc300dda6f001 抹去低二位,输入 dp 0xffffc300dda6f000
在这里插入图片描述
可以看到我这张二级表中有 50个一级表指针。查看第一张一级表:dp 0xffffc300d901a000
在这里插入图片描述
我们知道一级句柄表是根据 进程或线程ID来索引的,且以 ‘4’ 累加,所以第一行对应 id = 0,第二行对应 id = 4。 根据尝试,PID = 4 的进程是 System:
在这里插入图片描述
所以 0x9888c5afd440d84f 解密后就应该是 System 进程的 EPROCESS。
解密算法:

系统版本 计算方法
win7 value & 0xfffffffffffffff0
win8 (value >> 0x13) & 0xfffffffffffffff0
win10 (value >> 0x10) & 0xfffffffffffffff0

我的系统是 win10,按照上面的计算方式得到的结果是 0xFFFF9888C5AFD440
输入 dt _eprocess 0xFFFF9888C5AFD440 验证:
在这里插入图片描述
成功!

代码

// 获取 PspCidTable
BOOLEAN get_PspCidTable(ULONG64* tableAddr) {
   
   

	// 获取 PsLookupProcessByProcessId 地址
	UNICODE_STRING uc_funcName;
	RtlInitUnicodeString(&uc_funcName, L"PsLookupProcessByProcessId");
	ULONG64 ul_funcAddr = MmGetSystemRoutineAddress(&uc_funcName);
	if (ul_funcAddr == NULL) {
   
   
		//DbgPrint("[LYSM] MmGetSystemRoutineAddress error.\n");
		return FALSE;
	}
	//DbgPrint("[LYSM] PsLookupProcessByProcessId:%p\n", ul_funcAddr);

	// 前 40 字节有 call(PspReferenceCidTableEntry)
	ULONG64 ul_entry = 0;
	for (INT i = 0; i < 40; i++) {
   
   
		if (*(PUCHAR)(ul_funcAddr + i) == 0xe8) {
   
   
			ul_entry = ul_funcAddr + i;
			break;
		}
	}
	if (ul_entry != 0) {
   
   
		// 解析 call 地址
		INT i_callCode = *(INT*)(ul_entry + 1);
		//DbgPrint("[LYSM] i_callCode:%X\n", i_callCode);
		ULONG64 ul_callJmp = ul_entry + i_callCode + 5;
		//DbgPrint("[LYSM] ul_callJmp:%p\n", ul_callJmp);
		// 来到 call(PspReferenceCidTableEntry) 内找 PspCidTable
		for (INT i = 0; i < 20; i++) {
   
   
			if (*(PUCHAR)(ul_callJmp + i) == 0x48 &&
				*(PUCHAR)(ul_callJmp + i + 1) == 0x8b &&
				*(PUCHAR)
最低0.47元/天 解锁文章
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
遍历PspCidTable表检测进程
08-11 500
一、PspCidTable概述 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的,但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进程线程对象,其索引就是PIDTID。 2.PspCidTable中存放的直接是对象体(EPROCESSETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HE...
驱动遍历获取完整进程
Misaka10046的博客
04-14 742
WIN7 X86。
驱动开发:内核遍历进程VAD结构体
热门推荐
LYSHARK
10-13 2万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
26.全局句柄表PspCidTable
qq_35129925的博客
07-22 1053
https://www.cnblogs.com/kuangke/p/5761615.html
在Win7 x64通过PspCidTable枚举进程
qq269813279的博客
06-13 2291
PspCidTable存放着一个结构为_HANDLE_TABLE的指针,_HANDLE_TABLE结构记录句柄表的相关信息,句柄表存放着所有进程线程的对象,其索引就是PIDTID,在WinDbg看一下相关的结构。我们遍历进程对象需要关注两个成员,第一个是TableCode,第二个是NextHandleNeedingPool。TableCode:该成员记录表级表地址,低2位记录着表的级数,掩掉...
X64下的解析句柄表
zfdyq
12-07 3724
一:X64下的句柄表的查找: 关于PspCidTable的寻找,我是通过PsLookupProcessByProcessId查找特征码寻找pspCidTable32位没什么区别。 疑问:我想在KPCR中的KdVersionBlock中寻找,但是64位系统不知道为什么总是NULL,各位牛牛知道的求科普~ 寻找PspCidTable: SIZE_T FindCidTable() { SI
【Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 1650
在内核RING0层运用PspCidTable枚举可能被藏、断链的进程,得到EPROCESS对象
6.5 Windows驱动开发:内核枚举PspCidTable句柄表
LYSHARK
12-01 5362
在 Windows 操作系统内核中,PspCidTable 通常是与进程(Process)管理相关的数据结构之一。它与进程的标识管理有关,每个进程都有一个唯一的标识符,称为进程 ID(PID)。与之相关的是客户端 ID,它是一个结构,其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理内核对象的创建等方面都起到关键作用。
驱动开发-遍历进程
Fly_Sky
10-18 1038
理论来源:http://www.weixianmanbu.com/article/749.html 总结: !Process 0 0   进程列表 dt _eprocess    ----提示无改命令时使用.reload /f nt dt _eprocess 进程地址  --得到进程详细信息 DDFF进程地址+0x88  --得到下个进程地址结构指针 地址结构指针-0x88
驱动遍历进程的方法
qq_41071646的博客
10-27 1635
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
4.6 Windows驱动开发:内核遍历进程VAD结构体
LYSHARK
11-18 1万+
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个树形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符树(VAD 结构树)。,树的每一个节点代表一段虚拟地址空间。
驱动遍历进程的IAT表
Misaka10046的博客
05-02 367
WIN7 X86。
PspCidTable 完全解读
weixin_34216036的博客
12-07 291
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
Windows驱动程序中遍历系统中运行的进程信息完整代码
最新发布
danxuezx的专栏
03-11 257
闲来无事,随手写了一个在驱动程序中遍历系统中运行的进程信息代码,欢迎大家交流指导(zhxunCC)。代码在win11上跑了几次,可正常运行。
4.2 Windows驱动开发:内核中进程线程与模块
LYSHARK
11-17 1万+
内核进程线程模块是操作系统内核中非常重要的概念。它们是操作系统的核心部分,用于管理系统资源处理系统请求。在驱动安全开发中,理解内核进程线程模块的概念对于编写安全的内核驱动程序至关重要。内核进程是在操作系统内核中运行的程序。每个进程都有一个唯一的进程标识符(PID),它用于在系统中唯一地标识该进程。在内核中,进程被表示为一个进程控制块(PCB),它包含有关进程的信息,如进程状态、优先级、内存使用情况等。
pspcidtable
yaneng的专栏
06-18 1330
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [xiao_rui_119@163.com]T
通过暴力搜索PID遍历进程并获取进程信息
LYSM
06-23 3574
背景 通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySystemInformation 函数,过滤指定进程,从而实现进程藏。 本文实现的进程遍历获取进程信息并不打算使用 ZwQuerySystemInformation 这种方式,而是直接暴力搜索进程的 PID,根据有效的 PID 获取相应进程的信息,从而实现进程遍历。现在,我就来讲解具体的实现
(Win7) PspCidTable遍历进程句柄表,枚举进程
h2995527的博客
04-10 703
搞了一阵子的PHP,今天又来继续自己的C++了,翻阅了一下自己之前写的代码说明,自己也有点儿稀里糊涂了,于是又仔细的从头研究了一下,遂写此文以记之,文中有不当的地方欢迎大家拍砖. 先说一下句柄表是什么 在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄表就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自己的私有句柄表,这也就是说句柄是不能跨进程使用的。 PspCi
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值