win10 1909逆向----通過全局句柄PspCidTable,枚舉所有進程【目前只考慮句柄表爲兩層結構的解析,因爲懶】。

原創 学好技术打豆豆 2020-06-28 20:49

先看效果圖:

再放代碼:

#include <ntddk.h>
#include "Handle.h"

VOID Unload(PDRIVER_OBJECT pDriverObject)
{
	KdPrint(("end\n"));
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
{
	NTSTATUS status = STATUS_SUCCESS;
	KdPrint(("start\n"));
	pDriverObject->DriverUnload = Unload;
	HANDLE hThread;
	PUCHAR System = (PUCHAR)PsInitialSystemProcess;
	//第一步得到全局句柄表
	PHANDLE_TABLE PspCidTable=0;
	PUCHAR  var = (PUCHAR)PsLookupThreadByThreadId;
	for (int i = 0; i < 100; i++)
	{

		if (*var == 0xf7 && *(var + 1) == 0xc1)
		{
			PspCidTable = *(PLONG32)(var - 4) & 0xFFFFFFFF;
			PspCidTable = *(PUINT64)(var + (LONG32)PspCidTable);
		}
		var++;
	}
	//第二步,得到進程的INDEX
	 pObjectType = ObGetObjectType(PsInitialSystemProcess);
	 TypeIndex = pObjectType->Index;
	//第二步解析
	AnalyticHandle(PspCidTable);

	return status;
}

PVOID NTAPI AnalyticHandle(IN PHANDLE_TABLE HandleTable)
{
	
	INT64 TableBase = 0;
	INT64 TableLevel = 0;
	PUINT64 varTableEntry = 0;
	PHANDLE_TABLE varHandleTable = HandleTable;
	TableBase = varHandleTable->TableCode;
	TableLevel = TableBase & 3;
	TableBase = TableBase & 0xFFFFFFFFFFFFFFFC;
	int var_i = 0;
	int var_j = 0;
    PUCHAR Object = 0;
	UCHAR Index = 0;
	if (TableLevel == 1)
	{
		for (; *(PUINT64)TableBase && ((var_i++)<0x200); TableBase += 8)
		{
		    varTableEntry = *(PUINT64)TableBase;
			//因爲第一個和最後一個不用
			varTableEntry += 2;
			var_j = 0;
			while((var_j++) < 0xFF)
			{
				if (*varTableEntry)
				{
					//全局句柄表得到的是Object 內核句柄表得到的是Object_Header	
					Object=(((INT64)*varTableEntry) >> 0x10) & 0xFFFFFFFFFFFFFFF0;
			        //解析Index
					pObjectType = ObGetObjectType(Object);
					if (pObjectType->Index == TypeIndex)
					{
						KdPrint(("%s\n", PsGetProcessImageFileName(Object)));
					}
					
					//不讓系統卡死
					KSleep(10);
									
				}
				varTableEntry += 2;
				
			}
			
		
		}
		
	}
	return 0;

}
VOID KSleep(LONG MilliSecond)

{

	LARGE_INTEGER Interval = { 0 };

	Interval.QuadPart = DELAY_ONE_MILLISECOND;

	Interval.QuadPart *= MilliSecond;

	KeDelayExecutionThread(KernelMode, 0, &Interval);

}

 

再放頭文件:

#include <ntddk.h>
#define DELAY_ONE_MICROSECOND   (-10)
#define DELAY_ONE_MILLISECOND   (DELAY_ONE_MICROSECOND*1000)

typedef struct _HANDLE_TABLE
{
	ULONG NextHandleNeedingPool;
	LONG ExtraInfoPages;
	ULONG64 TableCode;
	PEPROCESS QuotaProcess;
	LIST_ENTRY HandleTableList;
	ULONG UniqueProcessId;
	ULONG Flags;
	ULONG64 HandleContentionEvent;

}HANDLE_TABLE, *PHANDLE_TABLE;

typedef struct _OBJECT_TYPE
{
	LIST_ENTRY TypeList;
	UNICODE_STRING Name;
	PVOID DefaultObject;
	UCHAR Index;
	ULONG TotalNumberOfObjects;
	ULONG TotalNumberOfHandles;
	ULONG HighWaterNumberOfObjects;
	ULONG HighWaterNumberOfHandles;
    //後面暫時用不到,省略
}OBJECT_TYPE, *POBJECT_TYPE;

PVOID NTAPI AnalyticHandle(IN PHANDLE_TABLE HandleTable);
NTKERNELAPI PVOID NTAPI ObGetObjectType(IN PVOID pObject);
NTKERNELAPI NTSTATUS NTAPI PsLookupThreadByThreadId(IN HANDLE ThreadId, OUT PETHREAD *Thread);
NTKERNELAPI LPSTR NTAPI PsGetProcessImageFileName(PEPROCESS Process);
PSHORT ObHeaderCookie = 0;
PINT64 ObTypeIndexTable = 0;
UCHAR TypeIndex;
NTKERNELAPI PEPROCESS PsInitialSystemProcess;
PVOID Object;
POBJECT_TYPE pObjectType;
VOID KSleep(LONG MilliSecond);
UCHAR SystemProcessType;
UCHAR TypeIndex;

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

BSD和Linux的區別

Linux 是由 Linus Torvalds 在芬蘭上大學的時候開發的。BSD 則代表“Berkeley Software Distribution,伯克利軟件套件”,其源於對加州大學伯克利分校所開發的貝爾實驗室UNIX的一系列修改,它

GoodboyDan 2020-07-08 04:59:52

linux驅動開發:input子系統二

輸入子系統:linux內核中將所有輸入設備歸爲一個類:input子系統。裏面實現了幾乎所有輸入設備的公共操作接口,相當於內核給我們搭建了一個輸入子系統的框架,我們用它的框架開發驅動,會變得非常簡單。因爲一些公共的函數內核已經幫我們

changliang7731 2020-07-08 04:08:45

內核中重要的數據結構

任務鏈表(Task List):流程調度程序爲每個活動的流程維護一個數據塊。這些數據塊存儲在稱爲任務列表的鏈接列表中。進程調度程序始終維護一個指示當前活動進程的當前指針。 內存映射(memry map):內存管理器基於每個進程存儲虛擬地址

楼兰公子 2020-07-08 01:47:44

爲什麼建議多用glibc而不是系統調用

用戶空間運行的進程,他們各自擁有獨立的虛擬地址空間,而內核則有單獨的地址空間。 內核空間分爲三類 系統調用層;它是屬於最上層,它提供了用戶空間和內核空間通信的方式。 Linux內核,應該更加確切的說是獨立於體系結構的內核代碼,這些通用的代

楼兰公子 2020-07-08 01:47:44

進程調度器可分爲四大模塊:

調度策略模塊負責判斷哪個進程可以訪問CPU;設計該策略是爲了使進程可以公平地訪問CPU。 體系結構相關模塊特定於體系結構的模塊設計有一個公共接口,用於抽象任何特定計算機體系結構的詳細信息。這些模塊負責與CPU通信以掛起和恢復進程。這些操作

楼兰公子 2020-07-08 01:47:44

linux內核之源碼編譯

linux內核之源碼編譯 如需轉載請標明出處:http://blog.csdn.net/itas109 QQ技術交流羣:129518033 文章目錄linux內核之源碼編譯1.下載linux內核2.安裝所需前置軟件3.解壓源碼

itas109 2020-07-08 00:25:38

【linux】循序漸進學運維-基礎篇-操作系統初始化

大家好,我是高勝寒,本文是Linux運維-循序漸進學運維-基礎篇的第60篇文章 文章目錄前言安裝Linux後的初始化操作1. 關閉selinux功能2. 精簡開機啓動項a) 開啓自啓動服務b) 刪除特殊的用戶和用戶組3. 用戶及密

高胜寒|职场引路人 2020-07-07 21:30:38

FreeRTOS內核源碼解讀之-------系統啓動(二)

FreeRTOS系統啓動過程主要分爲三部分:彙編部分、main函數初始化部分、開啓任務調度部分。 對於彙編部分主要是設置一些中斷向量表、設置堆和棧等一些C語言運行需要的條件,當這些部分設置完成時候,就會跳轉到main函數運行。對於

lucas_sane 2020-07-07 14:02:54

linux內核中的MKDEV MAJOR MINOR

參考的是恩智浦提供的內核,不知道是在哪個內核版本上修改的 MKDEV這個是在驅動學習中碰到的,定義在./include/linux/kdev_t.h中,如下: 1 #define MINORBITS 20 2 #defin

那可真是太开心了呢 2020-07-07 13:51:40

linux驅動開發學習筆記1---字符設備驅動開發

1.字符設備驅動簡介 字符設備是linux驅動中最基本的一類設備驅動,字符設備就是一個一個字節,按照字節流進行讀寫操作的設備,讀寫數據是分先後順序的,比如我們最常見的點燈、按鍵、IIC、SPI、LCD等等都是字符設備,這些設備的驅

那可真是太开心了呢 2020-07-07 13:51:40

gpio子系統

文章目錄gpio子系統簡介I.MX6ULL的gpio子系統驅動設備樹中的 gpio 信息gpio子系統API函數設備樹中添加gpio節點模塊與 gpio 相關的 OF 函數 gpio子系統簡介 如果pinctrl子系統將一個PIN

那可真是太开心了呢 2020-07-07 13:51:37

Linux與VxWorks任務調度機制分析

論文出處:《工業控制計算機》2005年18卷第6期       原作者:高鵬飛、李新明、孫建 文字轉自:http://blog.csdn.net/chongzi865458/article/details/7701247 AbStract

HanSunmoon 2020-07-07 11:53:13

openwrt更換原有Linux內核版本

1;將openwrt14.07中的內核版本從3.10.49更換成3.10.102 a;更改文件include/kernel-version.mk b;修改文件​target/linux/<路由器架構> 下的Makefile,將KERNEL

flexman09 2020-07-07 10:50:08

嵌入式設備交叉編譯perf性能分析工具

嵌入式設備交叉編譯perf性能分析工具 1.1 背景 最近工作一直在做嵌入式相關的開發,主要是應用方面,隨着程序的業務功能越寫越複雜,加上嵌入式系統上的調試工具,少之又少,主要還是靠printf的傳統調試大法,下面來整個perf分

jorin@zou 2020-07-07 03:05:27

談系統設計之面向對象設計方法

                                                               談系統設計之面向對象設計方法                                          

若水003 2020-07-07 02:09:08