PspCidTable概述

原創 wowbell 2018-09-01 15:41
轉自:http://hi.baidu.com/_achillis/blog/item/9857ebec7303404779f05579.html

PspCidTable也是一個句柄表,其格式與普通的句柄表是完全一樣的.但它與每個進程私有的句柄表有以下不同:
1.PspCidTable中存放的對象是系統中所有的進線程對象,其索引就是PID和TID
2.PspCidTable中存放的直接是對象體(EPROCESS和ETHREAD),而每個進程私有的句柄表則存放的是對象頭(OBJECT_HEADER)
3.PspCidTable是一個獨立的句柄表,而每個進程私有的句柄表以一個雙鏈連接起來
lkd> dt nt!_handle_table
...
+0x01c HandleTableList : _LIST_ENTRY
....
注意訪問對象時要掩掉低三位,每個進程私有的句柄表是雙鏈連接起來的,實際上ZwQuerySystemInformation枚舉系統句柄時就是走的這條雙鏈,隱藏進程的話,這條鏈也是要斷掉的~~
PspCidTable相關的調用:
1.系統初始化時調用PspInitPhase0()初始化進程管理子系統,此時創建PspCidTable
  1. PspCidTable = ExCreateHandleTable (NULL);  //創建!
  2.     if (PspCidTable == NULL) {
  3.         return FALSE;
  4.      }
  6.     //
  7.     // Set PID and TID reuse to strict FIFO. This isn't absolutely needed but
  8.     // it makes tracking audits easier.
  9.     //
  10.      ExSetHandleTableStrictFIFO (PspCidTable );
  12.      ExRemoveHandleTable (PspCidTable );  //使得PspCidTable獨立於其它句柄表

2.進程創建時,PspCreateProcess()在PspCidTable中以進程對象創建句柄,是爲PID
//

    // Create the process ID

  1.     //
  3.      CidEntry.Object = Process;
  4.      CidEntry.GrantedAccess = 0;
  5.      Process->UniqueProcessId = ExCreateHandle (PspCidTable , &CidEntry);  //進程的PID是這麼來的
  6.     if (Process->UniqueProcessId == NULL) {
  7.          Status = STATUS_INSUFFICIENT_RESOURCES;
  8.         goto exit_and_deref;
  9.      }

3.線程創建時,PspCreateThread()在PspCidTable中以線程對象創建句柄,是爲TID

  1.      Thread->ThreadsProcess = Process;
  2.      Thread->Cid.UniqueProcess = Process->UniqueProcessId;
  4.      CidEntry.Object = Thread;
  5.      CidEntry.GrantedAccess = 0;
  6.      Thread->Cid.UniqueThread = ExCreateHandle (PspCidTable , &CidEntry); //線程的TID
  8.     if (Thread->Cid.UniqueThread == NULL) {
  9.          ObDereferenceObject (Thread);
  10.         return (STATUS_INSUFFICIENT_RESOURCES);
  11.      }


這兒可以清楚地知道:PID和TID分別是EPROCESS和ETHREAD對象在PspCidTable這個句柄表中的索引
4.進程和線程的查詢,主要是以下三個函數,按照給定的PID或TID從PspCidTable從查找相應的進線程對象
 PsLookupProcessThreadByCid()
PsLookupProcessByProcessId()
PsLookupThreadByThreadId()
其中有如下調用:
CidEntry = ExMapHandleToPointer(PspCidTable , ProcessId);
CidEntry = ExMapHandleToPointer(PspCidTable , ThreadId);

ExMapHandleToPointer內部仍然是調用ExpLookupHandleTableEntry()根據指定的句柄查找相應的HANDLE_TABEL_ENTRY,
從而獲取Object
5.線程退出時,PspThreadDelete()在PspCidTable中銷燬句柄
  1. if (Thread->Cid.UniqueThread != NULL) {
  2.         if (!ExDestroyHandle (PspCidTable , Thread->Cid.UniqueThread, NULL)) {
  3.              KeBugCheck(CID_HANDLE_DELETION);
  4.          }
  5.      }


6.進程退出時,PspProcessDelete()在PspCidTable中銷燬句柄

  1. if (Process->UniqueProcessId) {
  2.         if (!(ExDestroyHandle (PspCidTable , Process->UniqueProcessId, NULL))) {
  3.              KeBugCheck (CID_HANDLE_DELETION);
  4.          }
  5.      }


這裏要注意,如果進線程退出時,銷燬句柄卻發現句柄不存在造成ExDestroyHandle返回失敗,可是要藍屏滴~
所以抹了PspCidTable來隱藏的進程,在退出時必須把進線程對象再放回去,欲知後事如何,請看下回分解~~

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

N網下載mod方法: 20240614親測好使

https://www.bilibili.com/video/BV1k8411575T/?vd_source=d68ed178f151e80fea1e02efd205802c

張博的博客 2024-06-15 14:23:44

Libgdx遊戲開發(3)——通過柏林噪音算法地圖隨機地形

原文: Libgdx遊戲開發(3)——通過柏林噪音算法地圖隨機地形-Stars-One的雜貨小窩 在B站刷到了隨機地圖生成的視頻,隨手學習下並做下記錄 注: 本篇使用javafx應用作演示,算是瞭解這個算法的使用,後續會再出篇libgdx

Stars-one 2024-06-15 14:23:14

電子行業MES系統流程圖梳理

 

DayVK 2024-06-15 14:22:44

langchain Chatchat 學習實踐(四)——實現對Text2Sql的支持

這裏記錄一下langchain chatchat項目中的text2sql的實現思路。 1、SQLDatabaseChain鏈 SQLDatabaseChain是langchain框架自帶的數據庫自然語言交互工具,其內部通過sqlalchem

鄭某 2024-06-15 14:19:14

python cuda12 安裝

pip install torch2.3.0 torchvision0.18.0 torchaudio==2.3.0 --index-url https://download.pytorch.org/whl/cu121

菊花茶 2024-06-15 14:15:03

解決#error -- unsupported GNU version! gcc versions later than 11 are not supported!

ubuntu系統gcc版本太高導致cuda編譯報錯,可以手動切換gcc版本: #切換gcc版本 sudo update-alternatives --config gcc #切換g++版本 sudo update-alternatives

Dsp Tian 2024-06-15 14:14:43

Codeforces Global Round 26 D ''a'' String Problem(思維)

這題思維性很強,沒搞出來,純記錄一下。看題解看了很久纔看懂。代碼補充了幾個例子幫助理解。思路可以參考Codeforces Global Round 26 (A - E) - Lu_xZ - 博客園 (cnblogs.com) 1 #de

SnowLove 2024-06-15 14:14:03

前端使用 Konva 實現可視化設計器(15)- 自定義連接點、連接優化

前面,本示例實現了折線連接線,簡述了實現的思路和原理,也已知了一些缺陷。本章將處理一些缺陷的同時,實現支持連接點的自定義,一個節點可以定義多個連接點,最終可以滿足類似圖元接線的效果。 請大家動動小手,給我一個免費的 Star 吧~ 大家如

xachary 2024-06-15 14:11:43

爲centos7系統添加新用戶並設置祕鑰登陸

要在CentOS 7系統上創建一個新用戶evan,並禁止其使用密碼登錄而僅允許密鑰登錄,你可以按照以下步驟操作: 創建新用戶 使用root賬號登錄到CentOS 7系統,然後運行以下命令來創建新用戶evan:            

憤怒的碼農 2024-06-15 14:09:23

Odoo jsonb查詢

1. ->>查詢具體字段   SELECT * FROM product_template WHERE description_purchase->>'en_US' = 'purchase_food'   2. ::name 完整字符串匹配

若-飛 2024-06-15 14:07:53

在 Solidity 中將地址類型轉換爲 IERC20 接口類型

在智能合約開發中,尤其是涉及到 ERC-20 代幣交互時,開發者常常需要將一個地址類型轉換爲 IERC20 接口類型。這樣做的目的是爲了調用接口中的函數,如 transfer 和 approve。本文將詳細講解這一過程,並簡要介紹相關的背景

若-飛 2024-06-15 14:07:53

solidity calldata學習

在 Solidity 中,calldata 是一種數據位置標識符,用於指定函數參數的存儲位置。calldata 特別適用於函數的外部調用參數,並且是隻讀的。以下是對 Solidity 中數據位置的一些說明: storage: 用於狀態變量

若-飛 2024-06-15 14:07:53

理解 Solidity 中的修飾器(Modifiers)

在智能合約開發中,代碼的可讀性和安全性至關重要。Solidity 作爲以太坊上最常用的編程語言,爲開發者提供了一種強大的工具——修飾器(modifiers)。修飾器可以在函數調用前後執行特定的代碼,簡化邏輯並增強合約的安全性。本文將深入探討

若-飛 2024-06-15 14:07:53

探索 Solidity 中的各種修飾符

探索 Solidity 中的各種修飾符 在智能合約開發中,確保代碼的安全性、可讀性和高效性至關重要。Solidity 作爲以太坊上最廣泛使用的編程語言,提供了一系列的修飾符來幫助開發者實現這些目標。本文將深入探討 Solidity 中的各種

若-飛 2024-06-15 14:07:53

全球國家或地區ISO代碼,IOS2編碼,IOS3編碼

最近項目需要使用到全球國家或地區ISO編碼。發現網上並沒有完整的數據,然後就自己抓了一些數據回來。 分享給大家,拿來可以直接使用。 excel文件:https://github.com/mtyh/CountryCodeCrawler/tre

明天以後 2024-06-15 14:05:12