PspCidTable概述
来源:互联网 发布:旧版淘宝下载 编辑:程序博客网 时间:2024/05/21 06:50
PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:
1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID
2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)
3.PspCidTable是一个独立的句柄表,而每个进程私有的句柄表以一个双链连接起来.pspcidtable和进程中的句柄表没有联系在一起。
注意访问对象时要掩掉低三位,每个进程私有的句柄表是双链连接起来的,实际上ZwQuerySystemInformation枚举系统句柄时就是走的这条双链,隐藏进程的话,这条链也是要断掉的~~
PspCidTable相关的调用:
1.系统初始化时调用PspInitPhase0()初始化进程管理子系统,此时创建PspCidTable
1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID
2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)
3.PspCidTable是一个独立的句柄表,而每个进程私有的句柄表以一个双链连接起来.pspcidtable和进程中的句柄表没有联系在一起。
注意访问对象时要掩掉低三位,每个进程私有的句柄表是双链连接起来的,实际上ZwQuerySystemInformation枚举系统句柄时就是走的这条双链,隐藏进程的话,这条链也是要断掉的~~
PspCidTable相关的调用:
1.系统初始化时调用PspInitPhase0()初始化进程管理子系统,此时创建PspCidTable
- PspCidTable = ExCreateHandleTable (NULL); //创建!
- if (PspCidTable == NULL) {
- return FALSE;
- }
- //
- // Set PID and TID reuse to strict FIFO. This isn't absolutely needed but
- // it makes tracking audits easier.
- //
- ExSetHandleTableStrictFIFO (PspCidTable);
- ExRemoveHandleTable (PspCidTable); //使得PspCidTable独立于其它句柄表 独立很重要
2.进程创建时,PspCreateProcess()在PspCidTable中以进程对象创建句柄,是为PID
//
// Create the process ID
- //
- CidEntry.Object = Process;
- CidEntry.GrantedAccess = 0;
- Process->UniqueProcessId = ExCreateHandle (PspCidTable, &CidEntry); //进程的PID是这么来的
- if (Process->UniqueProcessId == NULL) {
- Status = STATUS_INSUFFICIENT_RESOURCES;
- goto exit_and_deref;
- }
3.线程创建时,PspCreateThread()在PspCidTable中以线程对象创建句柄,是为TID
- Thread->ThreadsProcess = Process;
- Thread->Cid.UniqueProcess = Process->UniqueProcessId;
- CidEntry.Object = Thread;
- CidEntry.GrantedAccess = 0;
- Thread->Cid.UniqueThread = ExCreateHandle (PspCidTable, &CidEntry); //线程的TID
- if (Thread->Cid.UniqueThread == NULL) {
- ObDereferenceObject (Thread);
- return (STATUS_INSUFFICIENT_RESOURCES);
- }
这儿可以清楚地知道:PID和TID分别是EPROCESS和ETHREAD对象在PspCidTable这个句柄表中的索引
4.进程和线程的查询,主要是以下三个函数,按照给定的PID或TID从PspCidTable从查找相应的进线程对象
PsLookupProcessThreadByCid()
PsLookupProcessByProcessId()
PsLookupThreadByThreadId()
其中有如下调用:
CidEntry = ExMapHandleToPointer(PspCidTable, ProcessId);
CidEntry = ExMapHandleToPointer(PspCidTable, ThreadId);
ExMapHandleToPointer内部仍然是调用ExpLookupHandleTableEntry()根据指定的句柄查找相应的HANDLE_TABEL_ENTRY,
从而获取Object
5.线程退出时,PspThreadDelete()在PspCidTable中销毁句柄
从而获取Object
5.线程退出时,PspThreadDelete()在PspCidTable中销毁句柄
- if (Thread->Cid.UniqueThread != NULL) {
- if (!ExDestroyHandle (PspCidTable, Thread->Cid.UniqueThread, NULL)) {
- KeBugCheck(CID_HANDLE_DELETION);
- }
- }
6.进程退出时,PspProcessDelete()在PspCidTable中销毁句柄
- if (Process->UniqueProcessId) {
- if (!(ExDestroyHandle (PspCidTable, Process->UniqueProcessId, NULL))) {
- KeBugCheck (CID_HANDLE_DELETION);
- }
- }
这里要注意,如果进线程退出时,销毁句柄却发现句柄不存在造成ExDestroyHandle返回失败,可是要蓝屏滴~
所以抹了PspCidTable来隐藏的进程,在退出时必须把进线程对象再放回去,欲知后事如何,请看下回分解~~
- PspCidTable概述
- PspCidTable概述
- pspcidtable
- pspCidTable
- PspCidTable
- pspcidtable杂谈
- 关于PspCidTable
- 原创】PspCidTable杂谈
- 句柄表和pspcidtable
- 枚举PspCidTable利用API
- PspCidTable攻与防
- PspCidTable 完全解读
- PspCidTable进程枚举
- Pspcidtable遍历进程
- check hidden process(ring0 PspCidTable)
- 枚举进程——PspCidTable
- x64通过PspCidTable遍历进程
- [转载]基于pspCidTable的进程检测技术
- pspcidtable杂谈
- videos and foils for Community One event
- JS中分号引起的一段调试问题
- OPENGL 设置背景色
- 轻松搞定高危恶意网站!会者不难!
- PspCidTable概述
- 动态加载win32可执行文件
- 从文件中读简单结构体数据
- _tmain()
- 好BLOG地址
- VC8/9中CRT函数对非法参数的处理
- 选型成功为企业ERP项目种颗优良的种子!
- TCHAR char wchar_t 的区别
- 如何做好网络营销人员