[原创]驱动中获取PsActiveProcessHead变量地址的五种方法-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]驱动中获取PsActiveProcessHead变量地址的五种方法 0.00雪花

发表于: 2012-2-11 03:48 4777

[旧帖] [原创]驱动中获取PsActiveProcessHead变量地址的五种方法 0.00雪花

静寞

2012-2-11 03:48

4777

ULONG FindPsActiveProcessHead1()
{
  //1.从KdEnableDebugger地址找到KdInitSystem地址
  //nt!KdEnableDebugger   804f7810
   
  //804f7837 6a00            push    0
  //804f7839 6a00            push    0
  //804f783b c605ecab558001  mov     byte ptr [nt!PoHiberInProgress (8055abec)],1
  //804f7842 e8f7951600      call    nt!KdInitSystem (80660e3e)
  //804f7847 e8649a1600      call    nt!KdpRestoreAllBreakpoints (806612b0)
 
  ULONG i;
  PCALL_CODE pCall;
  PUCHAR pKdInitSystem=NULL;
  PUCHAR p=(PUCHAR)GetExportFuncAddress(L"KdEnableDebugger");
  KdPrint(("KdEnableDebugger地址=%x\n",p));
  if (!p)
  {
    KdPrint(("获取KdEnableDebugger地址失败\n"));
    return 0;
  }
 
  for (i=0;i<100;i++,p++)
  {
    if ((*p==0x6a)&&
      (*(p+1)==0x00)&&
      (*(p+2)==0x6a)&&
      (*(p+3)==0x00)&&
      (*(p+4)==0xc6)&&
      (*(p+5)==0x05)&&
      (*(p+0xb)==0xe8)&&
      (*(p+0x10)==0xe8)  )
    {
      pCall=(PCALL_CODE)(p+0xb);
      pKdInitSystem=p+0xb+pCall->address+5;
      KdPrint(("KdInitSystem地址=%x\n",pKdInitSystem));
      break;
    }
  }
   
  if (!pKdInitSystem)
  {
    KdPrint(("获取KdInitSystem地址失败\n"));
    return 0;
  }
 
  //2.从KdInitSystem地址找到KdDebuggerDataBlock地址
  //nt!KdInitSystem 80660e3e
 
  //80660e8e 6890020000      push    290h
  //80660e93 68606b5480      push    offset nt!KdDebuggerDataBlock (80546b60)
  //80660e98 be74926780      mov     esi,offset nt!KdpDebuggerDataListHead (80679274)
 
  p=pKdInitSystem;
  for (i=0;i<100;i++,p++)
  {
    if ((*p==0x68)&&
      (*(p+5)==0x68)&&
      (*(p+0xA)==0xbe))
    {
      pCall=(PCALL_CODE)(p+5);
      KdPrint(("KdDebuggerDataBlock地址=%x\n",pCall->address));
      KdPrint(("PsActiveProcessHead地址=%x\n",((PKDDEBUGGER_DATA64)pCall->address)->PsActiveProcessHead));
      return ((PKDDEBUGGER_DATA64)pCall->address)->PsActiveProcessHead;
    }
  }
  KdPrint(("获取KdDebuggerDataBlock地址失败\n"));
  return 0;
}

NTSTATUS FindPsActiveProcessHead(ULONG *pPsActiveProcessHead)
{
    PEPROCESS process;
    PLIST_ENTRY pList=NULL;
    NTSTATUS status=PsLookupProcessByProcessId((HANDLE)4,&process);
    if (!NT_SUCCESS(status))
    {
        KdPrint(("获取process失败\n"));
        return status;
    }
    //xp _EPROCESS +0x088 ActiveProcessLinks : _LIST_ENTRY
    pList=(PLIST_ENTRY)((PUCHAR)process+0x88);
    KdPrint(("PsActiveProcessHead地址=%x\n",pList->Blink));
    *pPsActiveProcessHead=(ULONG)pList->Blink;
    ObDereferenceObject(process);
    return status;
}

ULONG FindPsActiveProcessHead3()
{
  ULONG addr=*(PULONG)PsInitialSystemProcess;
  //xp _EPROCESS +0x088 ActiveProcessLinks : _LIST_ENTRY
  PLIST_ENTRY pList=(PLIST_ENTRY)(addr+0x88);
  KdPrint(("PsActiveProcessHead地址=%x\n",pList->Blink));
  return (ULONG)pList->Blink;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

方法1找KdInitSystem.jpg （134.68kb，64次下载）
方法1找到KdDebuggerDataBlock.jpg （85.30kb，63次下载）
PsInitialSystemProcess.jpg （161.83kb，63次下载）
KPCR1.jpg （198.51kb，43次下载）
KPCR2.jpg （139.14kb，42次下载）
KPCR3.jpg （125.64kb，42次下载）

收藏・6

免费・6

支持

赞赏记录

参与人

雪币

留言

时间

伟叔叔

为你点赞~

2024-5-31 03:51

心游尘世外

为你点赞~

2024-3-30 00:22

飘零丶

为你点赞~

2024-3-21 01:51

QinBeast

为你点赞~

2024-3-1 00:42

shinratensei

为你点赞~

2024-1-27 02:59

PLEBFE

为你点赞~

2023-3-7 00:46

最新回复 (6)
静寞雪币： 53 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	静寞 2 楼一些结构与两个函数。上传的附件： somedefine.rar （2.10kb，21次下载） 2012-2-11 04:05 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 3 楼不错，有功力。 2012-2-11 11:51 0
静寞雪币： 53 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	静寞 4 楼这是第一贴。不知道申请邀请码要在贴子中注明申请邀请码。现在补上，希望此贴能入各位大人们法眼。。。。。。。 2012-2-12 18:14 0
无聊之人雪币： 132 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 1 关注私信	无聊之人 5 楼表扬一下，私人赞助一个邀请码给你~~发你的访问者留言里面的，注意啦 2012-2-12 18:28 0
狼行绝路雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 97 粉丝 0 关注私信	狼行绝路 6 楼顶一个不错哦~~~ 2013-4-23 12:10 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 7 楼好帖，赞一个。 2013-10-28 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

静寞

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
静寞雪币： 53 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	静寞 2 楼一些结构与两个函数。上传的附件： somedefine.rar （2.10kb，21次下载） 2012-2-11 04:05 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 3 楼不错，有功力。 2012-2-11 11:51 0
静寞雪币： 53 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	静寞 4 楼这是第一贴。不知道申请邀请码要在贴子中注明申请邀请码。现在补上，希望此贴能入各位大人们法眼。。。。。。。 2012-2-12 18:14 0
无聊之人雪币： 132 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 1 关注私信	无聊之人 5 楼表扬一下，私人赞助一个邀请码给你~~发你的访问者留言里面的，注意啦 2012-2-12 18:28 0
狼行绝路雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 97 粉丝 0 关注私信	狼行绝路 6 楼顶一个不错哦~~~ 2013-4-23 12:10 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 7 楼好帖，赞一个。 2013-10-28 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [原创]驱动中获取PsActiveProcessHead变量地址的五种方法 0.00雪花

账号登录 验证码登录

账号登录

验证码登录