在 Windows 操作系統內核中,PspCidTable 通常是與進程(Process)管理相關的數據結構之一。它與進程的標識和管理有關,每個進程都有一個唯一的標識符,稱爲進程 ID(PID)。與之相關的是客戶端 ID,它是一個結構,其中包含唯一標識進程的信息。這樣的標識符在進程管理、線程管理和內核對象的創建等方面都起到關鍵作用。
PspCidTable 可用於快速查找和管理進程信息,以便在系統中追蹤、查詢和操作進程。該表格可能包含有關每個進程的關鍵信息,例如 PID、客戶端 ID、進程狀態等。
在上一篇文章《內核枚舉DpcTimer定時器》中我們通過枚舉特徵碼的方式找到了DPC定時器基址並輸出了內核中存在的定時器列表,本章將學習如何通過特徵碼定位的方式尋找Windows 10系統下面的PspCidTable內核句柄表地址。
首先引入一段基礎概念;
- 1.在
windows下所有的資源都是用對象的方式進行管理的(文件、進程、設備等都是對象),當要訪問一個對象時,如打開一個文件,系統就會創建一個對象句柄,通過這個句柄可以對這個文件進行各種操作。 - 2.句柄和對象的聯繫是通過句柄表來進行的,準確來說一個句柄就是它所對應的對象在句柄表中的索引。
- 3.通過句柄可以在句柄表中找到對象的指針,通過指針就可以對,對象進行操作。
PspCidTable 就是這樣的一種表(內核句柄表),表的內部存放的是進程EPROCESS和線程ETHREAD的內核對象,並通過進程PID和線程TID進行索引,ID號以4遞增,內核句柄表不屬於任何進程,也不連接在系統的句柄表上,通過它可以返回系統的任何對象。
內核句柄表與普通句柄表完全一樣,但它與每個進程私有的句柄表有以下不同;
- 1.PspCidTable 中存放的對象是系統中所有的進程線程對象,其索引就是
PID和TID。 - 2.PspCidTable 中存放的直接是對象體
EPROCESS和ETHREAD,而每個進程私有的句柄表則存放的是對象頭OBJECT_HEADER。 - 3.PspCidTable 是一個獨立的句柄表,而每個進程私有的句柄表以一個雙鏈連接起來。
- 4.PspCidTable 訪問對象時要掩掉低三位,每個進程私有的句柄表是雙鏈連接起來的。
那麼在Windows10系統中該如何枚舉句柄表;
- 1.首先找到
PsLookupProcessByProcessId函數地址,該函數是被導出的可以動態拿到。 - 2.其次在
PsLookupProcessByProcessId地址中搜索PspReferenceCidTableEntry函數。 - 3.最後在
PspReferenceCidTableEntry地址中找到PspCidTable函數。
首先第一步先要得到PspCidTable函數內存地址,輸入dp PspCidTable即可得到,如果在程序中則是調用MmGetSystemRoutineAddress取到。
PspCidTable是一個HANDLE_TALBE結構,當新建一個進程時,對應的會在PspCidTable存在一個該進程和線程對應的HANDLE_TABLE_ENTRY項。在windows10中依然採用動態擴展的方法,當句柄數少的時候就採用下層表,多的時候才啓用中層表或上層表。
接着我們解析ffffdc88-79605dc0這個內存地址,執行dt _HANDLE_TABLE 0xffffdc8879605dc0得到規範化結構體。
內核句柄表分爲三層如下;
- 下層表:是一個
HANDLE_TABLE_ENTRY項的索引,整個表共有256個元素,每個元素是一個8個字節長的HANDLE_TABLE_ENTRY項及索引,HANDLE_TABLE_ENTRY項中保存着指向對象的指針,下層表可以看成是進程和線程的稠密索引。 - 中層表:共有
256個元素,每個元素是4個字節長的指向下層表的入口指針及索引,中層表可以看成是進程和線程的稀疏索引。 - 上層表:共有
256個元素,每個元素是4個字節長的指向中層表的入口指針及索引,上層表可以看成是中層表的稀疏索引。
總結起來一個句柄表有一個上層表,一個上層表最多可以有256箇中層表的入口指針,每個中層表最多可以有256個下層表的入口指針,每個下層表最多可以有256個進程和線程對象的指針。PspCidTable表可以看成是HANDLE_TBALE_ENTRY項的多級索引。
如上圖所示TableCode是指向句柄表的指針,低二位(二進制)記錄句柄表的等級:0(00)表示一級表,1(01)表示二級表,2(10)表示三級表。這裏的 0xffffdc88-7d09b001 就說名它是一個二級表。
一級表裏存放的就是進程和線程對象(加密過的,需要一些計算來解密),二級表裏存放的是指向某個一級表的指針,同理三級表存放的是指向二級表的指針。
x64 系統中,每張表的大小是 0x1000(4096),一級表中存放的是 _handle_table_entry 結構(大小 = 16),二級表和三級表存放的是指針(大小 = 8)。
我們對 0xffffdc88-7d09b001 抹去低二位,輸入dp 0xffffdc887d09b000 輸出的結果就是一張二級表,裏面存儲的就是一級表指針。
繼續查看第一張一級表,輸入dp 0xffffdc887962a000命令,我們知道一級句柄表是根據進程或線程ID來索引的,且以4累加,所以第一行對應id = 0,第二行對應id = 4。根據嘗試,PID = 4的進程是System。
所以此處的第二行0xb281de28-3300ffa7就是加密後的System進程的EPROCESS結構,對於Win10系統來說解密算法(value >> 0x10) & 0xfffffffffffffff0是這樣的,我們通過代碼計算出來。
#include <Windows.h>
#include <iostream>
int _tmain(int argc, _TCHAR* argv[])
{
std::cout << "hello lyshark" << std::endl;
ULONG64 ul_recode = 0xb281de283300ffa7;
ULONG64 ul_decode = (LONG64)ul_recode >> 0x10;
ul_decode &= 0xfffffffffffffff0;
std::cout << "解密後地址: " << std::hex << ul_decode << std::endl;
getchar();
return 0;
}
運行程序得到如下輸出,即可知道System系統進程解密後的EPROCESS結構地址是0xffffb281de283300
回到WinDBG調試器,輸入命令dt _EPROCESS 0xffffb281de283300解析以下這個結構,輸出結果是System進程。
理論知識總結已經結束了,接下來就是如何實現枚舉進程線程了,枚舉流程如下:
- 1.首先找到
PspCidTable的地址。 - 2.然後找到
HANDLE_TBALE的地址。 - 3.根據
TableCode來判斷層次結構。 - 4.遍歷層次結構來獲取對象地址。
- 5.判斷對象類型是否爲進程對象。
- 6.判斷進程是否有效。
這裏先來實現獲取PspCidTable函數的動態地址,代碼如下。
#include <ntifs.h>
#include <windef.h>
// 獲取 PspCidTable
BOOLEAN get_PspCidTable(ULONG64* tableAddr)
{
// 獲取 PsLookupProcessByProcessId 地址
UNICODE_STRING uc_funcName;
RtlInitUnicodeString(&uc_funcName, L"PsLookupProcessByProcessId");
ULONG64 ul_funcAddr = MmGetSystemRoutineAddress(&uc_funcName);
if (ul_funcAddr == NULL)
{
return FALSE;
}
DbgPrint("PsLookupProcessByProcessId addr = %p \n", ul_funcAddr);
// 前 40 字節有 call(PspReferenceCidTableEntry)
/*
0: kd> uf PsLookupProcessByProcessId
nt!PsLookupProcessByProcessId:
fffff802`0841cfe0 48895c2418 mov qword ptr [rsp+18h],rbx
fffff802`0841cfe5 56 push rsi
fffff802`0841cfe6 4883ec20 sub rsp,20h
fffff802`0841cfea 48897c2438 mov qword ptr [rsp+38h],rdi
fffff802`0841cfef 488bf2 mov rsi,rdx
fffff802`0841cff2 65488b3c2588010000 mov rdi,qword ptr gs:[188h]
fffff802`0841cffb 66ff8fe6010000 dec word ptr [rdi+1E6h]
fffff802`0841d002 b203 mov dl,3
fffff802`0841d004 e887000000 call nt!PspReferenceCidTableEntry (fffff802`0841d090)
fffff802`0841d009 488bd8 mov rbx,rax
fffff802`0841d00c 4885c0 test rax,rax
fffff802`0841d00f 7435 je nt!PsLookupProcessByProcessId+0x66 (fffff802`0841d046) Branch
*/
ULONG64 ul_entry = 0;
for (INT i = 0; i < 100; i++)
{
// fffff802`0841d004 e8 87 00 00 00 call nt!PspReferenceCidTableEntry (fffff802`0841d090)
if (*(PUCHAR)(ul_funcAddr + i) == 0xe8)
{
ul_entry = ul_funcAddr + i;
break;
}
}
if (ul_entry != 0)
{
// 解析 call 地址
INT i_callCode = *(INT*)(ul_entry + 1);
DbgPrint("i_callCode = %p \n", i_callCode);
ULONG64 ul_callJmp = ul_entry + i_callCode + 5;
DbgPrint("ul_callJmp = %p \n", ul_callJmp);
// 來到 call(PspReferenceCidTableEntry) 內找 PspCidTable
/*
0: kd> uf PspReferenceCidTableEntry
nt!PspReferenceCidTableEntry+0x115:
fffff802`0841d1a5 488b0d8473f5ff mov rcx,qword ptr [nt!PspCidTable (fffff802`08374530)]
fffff802`0841d1ac b801000000 mov eax,1
fffff802`0841d1b1 f0480fc107 lock xadd qword ptr [rdi],rax
fffff802`0841d1b6 4883c130 add rcx,30h
fffff802`0841d1ba f0830c2400 lock or dword ptr [rsp],0
fffff802`0841d1bf 48833900 cmp qword ptr [rcx],0
fffff802`0841d1c3 0f843fffffff je nt!PspReferenceCidTableEntry+0x78 (fffff802`0841d108) Branch
*/
for (INT i = 0; i < 0x120; i++)
{
// fffff802`0841d1a5 48 8b 0d 84 73 f5 ff mov rcx,qword ptr [nt!PspCidTable (fffff802`08374530)]
if (*(PUCHAR)(ul_callJmp + i) == 0x48 && *(PUCHAR)(ul_callJmp + i + 1) == 0x8b && *(PUCHAR)(ul_callJmp + i + 2) == 0x0d)
{
// 解析 mov 地址
INT i_movCode = *(INT*)(ul_callJmp + i + 3);
DbgPrint("i_movCode = %p \n", i_movCode);
ULONG64 ul_movJmp = ul_callJmp + i + i_movCode + 7;
DbgPrint("ul_movJmp = %p \n", ul_movJmp);
// 得到 PspCidTable
*tableAddr = ul_movJmp;
return TRUE;
}
}
}
return FALSE;
}
VOID UnDriver(PDRIVER_OBJECT driver)
{
DbgPrint(("Uninstall Driver Is OK \n"));
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
DbgPrint(("hello lyshark \n"));
ULONG64 tableAddr = 0;
get_PspCidTable(&tableAddr);
DbgPrint("PspCidTable Address = %p \n", tableAddr);
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
運行後即可得到動態地址,我們可以驗證一下是否一致:
繼續增加對與三級表的動態解析代碼,最終代碼如下所示:
#include <ntifs.h>
#include <windef.h>
// 獲取 PspCidTable
BOOLEAN get_PspCidTable(ULONG64* tableAddr)
{
// 獲取 PsLookupProcessByProcessId 地址
UNICODE_STRING uc_funcName;
RtlInitUnicodeString(&uc_funcName, L"PsLookupProcessByProcessId");
ULONG64 ul_funcAddr = MmGetSystemRoutineAddress(&uc_funcName);
if (ul_funcAddr == NULL)
{
return FALSE;
}
DbgPrint("PsLookupProcessByProcessId addr = %p \n", ul_funcAddr);
// 前 40 字節有 call(PspReferenceCidTableEntry)
/*
0: kd> uf PsLookupProcessByProcessId
nt!PsLookupProcessByProcessId:
fffff802`0841cfe0 48895c2418 mov qword ptr [rsp+18h],rbx
fffff802`0841cfe5 56 push rsi
fffff802`0841cfe6 4883ec20 sub rsp,20h
fffff802`0841cfea 48897c2438 mov qword ptr [rsp+38h],rdi
fffff802`0841cfef 488bf2 mov rsi,rdx
fffff802`0841cff2 65488b3c2588010000 mov rdi,qword ptr gs:[188h]
fffff802`0841cffb 66ff8fe6010000 dec word ptr [rdi+1E6h]
fffff802`0841d002 b203 mov dl,3
fffff802`0841d004 e887000000 call nt!PspReferenceCidTableEntry (fffff802`0841d090)
fffff802`0841d009 488bd8 mov rbx,rax
fffff802`0841d00c 4885c0 test rax,rax
fffff802`0841d00f 7435 je nt!PsLookupProcessByProcessId+0x66 (fffff802`0841d046) Branch
*/
ULONG64 ul_entry = 0;
for (INT i = 0; i < 100; i++)
{
// fffff802`0841d004 e8 87 00 00 00 call nt!PspReferenceCidTableEntry (fffff802`0841d090)
if (*(PUCHAR)(ul_funcAddr + i) == 0xe8)
{
ul_entry = ul_funcAddr + i;
break;
}
}
if (ul_entry != 0)
{
// 解析 call 地址
INT i_callCode = *(INT*)(ul_entry + 1);
DbgPrint("i_callCode = %p \n", i_callCode);
ULONG64 ul_callJmp = ul_entry + i_callCode + 5;
DbgPrint("ul_callJmp = %p \n", ul_callJmp);
// 來到 call(PspReferenceCidTableEntry) 內找 PspCidTable
/*
0: kd> uf PspReferenceCidTableEntry
nt!PspReferenceCidTableEntry+0x115:
fffff802`0841d1a5 488b0d8473f5ff mov rcx,qword ptr [nt!PspCidTable (fffff802`08374530)]
fffff802`0841d1ac b801000000 mov eax,1
fffff802`0841d1b1 f0480fc107 lock xadd qword ptr [rdi],rax
fffff802`0841d1b6 4883c130 add rcx,30h
fffff802`0841d1ba f0830c2400 lock or dword ptr [rsp],0
fffff802`0841d1bf 48833900 cmp qword ptr [rcx],0
fffff802`0841d1c3 0f843fffffff je nt!PspReferenceCidTableEntry+0x78 (fffff802`0841d108) Branch
*/
for (INT i = 0; i < 0x120; i++)
{
// fffff802`0841d1a5 48 8b 0d 84 73 f5 ff mov rcx,qword ptr [nt!PspCidTable (fffff802`08374530)]
if (*(PUCHAR)(ul_callJmp + i) == 0x48 && *(PUCHAR)(ul_callJmp + i + 1) == 0x8b && *(PUCHAR)(ul_callJmp + i + 2) == 0x0d)
{
// 解析 mov 地址
INT i_movCode = *(INT*)(ul_callJmp + i + 3);
DbgPrint("i_movCode = %p \n", i_movCode);
ULONG64 ul_movJmp = ul_callJmp + i + i_movCode + 7;
DbgPrint("ul_movJmp = %p \n", ul_movJmp);
// 得到 PspCidTable
*tableAddr = ul_movJmp;
return TRUE;
}
}
}
return FALSE;
}
/* 解析一級表
BaseAddr:一級表的基地址
index1:第幾個一級表
index2:第幾個二級表
*/
VOID parse_table_1(ULONG64 BaseAddr, INT index1, INT index2)
{
// 遍歷一級表(每個表項大小 16 ),表大小 4k,所以遍歷 4096/16 = 526 次
PEPROCESS p_eprocess = NULL;
PETHREAD p_ethread = NULL;
INT i_id = 0;
for (INT i = 0; i < 256; i++)
{
if (!MmIsAddressValid((PVOID64)(BaseAddr + i * 16)))
{
DbgPrint("非法地址= %p \n", BaseAddr + i * 16);
continue;
}
ULONG64 ul_recode = *(PULONG64)(BaseAddr + i * 16);
// 解密
ULONG64 ul_decode = (LONG64)ul_recode >> 0x10;
ul_decode &= 0xfffffffffffffff0;
// 判斷是進程還是線程
i_id = i * 4 + 1024 * index1 + 512 * index2 * 1024;
if (PsLookupProcessByProcessId(i_id, &p_eprocess) == STATUS_SUCCESS)
{
DbgPrint("進程PID: %d | ID: %d | 內存地址: %p | 對象: %p \n", i_id, i, BaseAddr + i * 0x10, ul_decode);
}
else if (PsLookupThreadByThreadId(i_id, &p_ethread) == STATUS_SUCCESS)
{
DbgPrint("線程TID: %d | ID: %d | 內存地址: %p | 對象: %p \n", i_id, i, BaseAddr + i * 0x10, ul_decode);
}
}
}
/* 解析二級表
BaseAddr:二級表基地址
index2:第幾個二級表
*/
VOID parse_table_2(ULONG64 BaseAddr, INT index2)
{
// 遍歷二級表(每個表項大小 8),表大小 4k,所以遍歷 4096/8 = 512 次
ULONG64 ul_baseAddr_1 = 0;
for (INT i = 0; i < 512; i++)
{
if (!MmIsAddressValid((PVOID64)(BaseAddr + i * 8)))
{
DbgPrint("非法二級表指針(1):%p \n", BaseAddr + i * 8);
continue;
}
if (!MmIsAddressValid((PVOID64)*(PULONG64)(BaseAddr + i * 8)))
{
DbgPrint("非法二級表指針(2):%p \n", BaseAddr + i * 8);
continue;
}
ul_baseAddr_1 = *(PULONG64)(BaseAddr + i * 8);
parse_table_1(ul_baseAddr_1, i, index2);
}
}
/* 解析三級表
BaseAddr:三級表基地址
*/
VOID parse_table_3(ULONG64 BaseAddr)
{
// 遍歷三級表(每個表項大小 8),表大小 4k,所以遍歷 4096/8 = 512 次
ULONG64 ul_baseAddr_2 = 0;
for (INT i = 0; i < 512; i++)
{
if (!MmIsAddressValid((PVOID64)(BaseAddr + i * 8)))
{
continue;
}
if (!MmIsAddressValid((PVOID64)* (PULONG64)(BaseAddr + i * 8)))
{
continue;
}
ul_baseAddr_2 = *(PULONG64)(BaseAddr + i * 8);
parse_table_2(ul_baseAddr_2, i);
}
}
VOID UnDriver(PDRIVER_OBJECT driver)
{
DbgPrint(("Uninstall Driver Is OK \n"));
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
DbgPrint(("hello lyshark \n"));
ULONG64 tableAddr = 0;
get_PspCidTable(&tableAddr);
DbgPrint("PspCidTable Address = %p \n", tableAddr);
// 獲取 _HANDLE_TABLE 的 TableCode
ULONG64 ul_tableCode = *(PULONG64)(((ULONG64)*(PULONG64)tableAddr) + 8);
DbgPrint("ul_tableCode = %p \n", ul_tableCode);
// 取低 2位(二級制11 = 3)
INT i_low2 = ul_tableCode & 3;
DbgPrint("i_low2 = %X \n", i_low2);
// 一級表
if (i_low2 == 0)
{
// TableCode 低 2位抹零(二級制11 = 3)
parse_table_1(ul_tableCode & (~3), 0, 0);
}
// 二級表
else if (i_low2 == 1)
{
// TableCode 低 2位抹零(二級制11 = 3)
parse_table_2(ul_tableCode & (~3), 0);
}
// 三級表
else if (i_low2 == 2)
{
// TableCode 低 2位抹零(二級制11 = 3)
parse_table_3(ul_tableCode & (~3));
}
else
{
DbgPrint("LyShark提示: 錯誤,非法! ");
return FALSE;
}
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
運行如上完整代碼,我們可以在WinDBG中捕捉到枚舉到的進程信息:
線程信息在進程信息的下面,枚舉效果如下:
至此文章就結束了,這裏多說一句,實際上ZwQuerySystemInformation枚舉系統句柄時就是走的這條雙鏈,枚舉系統進程如果使用的是這個API函數,那麼不出意外它也是在這些內核表中做的解析。