1。HANDLE是以4個字節爲倍數遞增,IDLE的PID爲0,SYSTEM進程的PID=4。
2. PspCidTable爲全局句柄表,ObpKernelHandleTable爲內核句柄表,不是一個概念,但是和我上一篇文章如何解析內核句柄表過程是一樣的,有一點區別是解密後PspCidTable得到提Object,ObpKernelHandleTable得到提Object_Header。
PspCidTable裏面記錄的是所有進程和線程的信息。
ObpKernelHandleTable裏面記錄的是所有驅動打開或者創建的對象信息。
3. 拿PspCidTable手動解析,以印證逆向的真實性。
通過+0x008 TableCode : 0xffff810c`666ff001,這個001,我們可以得知這是二層結構,我們得到第一層的地址。
再來得到第二層的_HANDLE_TABLE_ENTRY,一項佔0x10個字節,第0項和最後一項是不使用的:
開始解析:
由於TypeIndex 是加密的,那我們拿System進程的信息和句柄號爲4來進行對比是不是一個。
至此,確定無誤。