[原创]遍历内核中的DpcTimer-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]遍历内核中的DpcTimer

发表于: 2012-3-20 11:17 30257

[原创]遍历内核中的DpcTimer

thisIs

2012-3-20 11:17

30257

typedef struct _KTIMER {
	DISPATCHER_HEADER	Header;
	ULARGE_INTEGER		DueTime;	//+0x10
	LIST_ENTRY			TimerListEntry;
	PKDPC				Dpc;		//+0x20
	LONG				Period;		//+0x24
} KTIMER, *PKTIMER, *PRKTIMER;

	// 取KeUpdateSystemTime地址
	RtlInitUnicodeString(&destString,(PWCHAR)L"KeUpdateSystemTime");
	Address = (ULONG)MmGetSystemRoutineAddress(&destString);
	if (Address == 0) return 0;

	// 反汇编找到C_LEA<就是 lea 指令>首次出现的地址
	Address = DisAsmFindFirstSpecialInstructionAddress(Address, C_LEA);
	if ( Address == 0 ) return 0;
	if ( *(PUSHORT)Address != 0x0C8D ) return 0;

	Address = *(PULONG)(Address + 3);
	if ( MmIsAddressValidEx((PVOID)Address) == VCS_INVALID ) return 0;

ULONG DisAsmFindFirstSpecialInstructionAddress(ULONG BeginAddress, ULONG CmdType)
{
	ULONG		DecodedLength = 0;
	ULONG		dw = 0;
	ULONG		Address = 0;
	Disasm		dis;

	while (TRUE)
	{
		if ( MmIsAddressValidEx((PVOID)(BeginAddress + DecodedLength)) == VCS_INVALID ) return 0;

		dw = DisasmCode((PUCHAR)(BeginAddress + DecodedLength),36,&dis);
		DecodedLength = DecodedLength + dw;
		if ( dis.cmdtype != CmdType ) continue;

		Address = BeginAddress + DecodedLength - dw;		//返回指令地址 此时指向指令
		break;
	}

	if ( MmIsAddressValidEx((PVOID)Address) == VCS_INVALID ) Address = 0;
	return Address;
}


//自定义的回传DPC TIMER结构
typedef struct _MyDpcTimer{
	ULONG	TimerAddress;		//KTIMER结构地址
	ULONG	Period;				//循环间隔
	ULONG	DpcAddress;			//DPC结构地址
	ULONG	DpcRoutineAddress;	//例程地址
}MyDpcTimer,*PMyDpcTimer;

#define MAX_DPCTIMER_COUNT 250

#pragma PAGECODE
static ULONG GetDpcTimerInformation_XP(PVOID* pvBuf)
{
	ULONG	NumberOfTimerTable;
	ULONG	i;
	ULONG	ulCount = 0;
	PLIST_ENTRY	pList = NULL;
	PLIST_ENTRY pNextList = NULL;
	MyDpcTimer	MyDpc;
	PKDPCTIMER	pTimer = NULL;

	NumberOfTimerTable = 0x100;																	//_KTIMER_TABLE_ENTRY数量
	pList = (PLIST_ENTRY)GetDpcTimerListHeadForXp_2K3();										//取得链表头
	if (pList == NULL) return 0;

	*pvBuf = CallExAllocatePoolWithTag(PagedPool,MAX_DPCTIMER_COUNT*sizeof(MyDpcTimer),652);		//分配足够大的缓冲
	if (*pvBuf == NULL) return 0;
	RtlZeroMemory(*pvBuf,MAX_DPCTIMER_COUNT*sizeof(MyDpcTimer));

	for ( i = 0; i < NumberOfTimerTable; i++, pList++ )											//NumberOfTimerTable 个list
	{
		if ( MmIsAddressValidEx((PVOID)&pList) == VCS_INVALID ) goto __exit1;


		if ( MmIsAddressValidEx((PVOID)pList->Blink) == VCS_INVALID ) continue;					//如果listentry域地址无效,continue
		if ( MmIsAddressValidEx((PVOID)pList->Flink) == VCS_INVALID ) continue;


		for ( pNextList = pList->Blink; pNextList != pList; pNextList = pNextList->Blink )		//遍历blink链
		{
			pTimer = CONTAINING_RECORD(pNextList,KDPCTIMER,TimerListEntry);						//得到结构首
			
			if ( MmIsAddressValid((PVOID)pTimer) &&
				 MmIsAddressValid((PVOID)pTimer->Dpc) &&
				 MmIsAddressValid((PVOID)pTimer->Dpc->DeferredRoutine) &&
				 MmIsAddressValid((PVOID)&pTimer->Period) )										//过滤
			{
			
				RtlZeroMemory(&MyDpc,sizeof(MyDpcTimer));										//准备更新结构信息
				if ( !MmIsAddressValid((PVOID)pTimer) ) break;
				MyDpc.TimerAddress = (ULONG)pTimer;

				if ( !MmIsAddressValid((PVOID)pTimer->Dpc) ) break;
				MyDpc.DpcAddress = (ULONG)pTimer->Dpc;

				if ( !MmIsAddressValid((PVOID)pTimer->Dpc->DeferredRoutine) ) break;
				MyDpc.DpcRoutineAddress = (ULONG)pTimer->Dpc->DeferredRoutine;

				if ( !MmIsAddressValid((PVOID)&pTimer->Period) ) break;
				MyDpc.Period = pTimer->Period;

				RtlMoveMemory( (PVOID)((ULONG)*pvBuf+ulCount*sizeof(MyDpcTimer)),&MyDpc,sizeof(MyDpcTimer) );
				ulCount++;
				
				// 简单退出了,需要更改为重新分配更大的缓冲
				if (ulCount >= MAX_DPCTIMER_COUNT) goto __exit1;
			}

			if ( !MmIsAddressValid(pNextList->Blink) ) break;									//过滤

		}// end for
	}//end for

	return ulCount * sizeof(MyDpcTimer);

__exit1:
	if (*pvBuf != NULL) ExFreePool(*pvBuf);
	*pvBuf = NULL;
	return 0;
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

01.jpg （138.10kb，1291次下载）
02.jpg （65.97kb，1269次下载）
03.jpg （92.17kb，1271次下载）
04.jpg （96.25kb，1265次下载）
05.jpg （27.26kb，1248次下载）
06.jpg （88.48kb，1263次下载）
07.jpg （63.55kb，1253次下载）
08.jpg （250.66kb，15次下载）
09.jpg （162.55kb，1254次下载）
010.jpg （30.87kb，1225次下载）
011.jpg （108.45kb，1232次下载）
012.jpg （107.54kb，1215次下载）
013.jpg （59.18kb，1204次下载）
014.jpg （73.49kb，1180次下载）
015.jpg （231.04kb，8次下载）
016.jpg （161.20kb，1182次下载）

收藏・76

免费・6

支持

最新回复 (29) 1 2 ▶
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 2 楼求附件凑齐字数 2012-3-20 11:44 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 3 楼不错不错，收藏之 2012-3-20 13:28 0
HOWMP 雪币： 2830 活跃值： (2638) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 4 楼 lz威武，学习 2012-3-20 13:30 0
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 5 楼挺详细的，很适合初学者。 2012-3-20 19:37 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 6 楼学习++ 2012-3-20 20:44 0
superleft 雪币： 169 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	superleft 7 楼亲有附件没? 2012-3-20 21:04 0
djxh 雪币： 1685 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 8 楼感谢分享~~~~ 2012-3-20 21:15 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 9 楼学习，谢谢分享~~ 2012-3-20 22:04 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 10 楼学习了。 2012-3-21 00:05 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 11 楼学习......... 2012-3-21 07:12 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 12 楼不错不错，收藏之 2012-3-21 12:18 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 13 楼放出源码吧哈哈，， 2012-3-21 12:43 0
DZYLin 雪币： 91 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	DZYLin 1 14 楼学习学习，求源码 2012-3-22 13:49 0
yuweiping 雪币： 278 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	yuweiping 15 楼放出附件吧。。大侠 2012-3-23 21:32 0
thisIs 雪币： 535 活跃值： (245) 能力值： ( LV12，RANK：400 ) 在线值：发帖 16 回帖 73 粉丝 9 关注私信	thisIs 9 16 楼这些就是源码了啊 2012-3-23 22:55 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 17 楼遍历内核中的DpcTimer mark 2012-3-24 12:16 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 18 楼求GetKiProcessorBlock 2012-4-2 15:19 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 19 楼 jas。。。你这mark得也忒具体了吧。。。膜拜中 2012-4-2 15:37 0
wulongxian 雪币： 242 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	wulongxian 20 楼很详细的，支持 2012-4-4 21:42 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 21 楼这种强文怎么能不顶呢，太适合我了 2012-4-18 10:23 0
abcgoodwei 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	abcgoodwei 22 楼 Mark Dpc 2012-4-25 09:56 0
WFsong 雪币： 381 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	WFsong 23 楼给力好文，支持一个 2012-10-31 17:25 0
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 1 关注私信	wertyuyuyu 4 24 楼谢谢分享，楼主太牛了 2012-11-2 22:21 0
Edj 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	Edj 25 楼很详细,非常感谢.MARK 2013-1-30 15:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

thisIs

发帖

回帖

400

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (29) 1 2 ▶
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 2 楼求附件凑齐字数 2012-3-20 11:44 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 3 楼不错不错，收藏之 2012-3-20 13:28 0
HOWMP 雪币： 2830 活跃值： (2638) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 4 楼 lz威武，学习 2012-3-20 13:30 0
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 5 楼挺详细的，很适合初学者。 2012-3-20 19:37 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 6 楼学习++ 2012-3-20 20:44 0
superleft 雪币： 169 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	superleft 7 楼亲有附件没? 2012-3-20 21:04 0
djxh 雪币： 1685 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 8 楼感谢分享~~~~ 2012-3-20 21:15 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 9 楼学习，谢谢分享~~ 2012-3-20 22:04 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 10 楼学习了。 2012-3-21 00:05 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 11 楼学习......... 2012-3-21 07:12 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 12 楼不错不错，收藏之 2012-3-21 12:18 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 13 楼放出源码吧哈哈，， 2012-3-21 12:43 0
DZYLin 雪币： 91 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	DZYLin 1 14 楼学习学习，求源码 2012-3-22 13:49 0
yuweiping 雪币： 278 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	yuweiping 15 楼放出附件吧。。大侠 2012-3-23 21:32 0
thisIs 雪币： 535 活跃值： (245) 能力值： ( LV12，RANK：400 ) 在线值：发帖 16 回帖 73 粉丝 9 关注私信	thisIs 9 16 楼这些就是源码了啊 2012-3-23 22:55 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 17 楼遍历内核中的DpcTimer mark 2012-3-24 12:16 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 18 楼求GetKiProcessorBlock 2012-4-2 15:19 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 19 楼 jas。。。你这mark得也忒具体了吧。。。膜拜中 2012-4-2 15:37 0
wulongxian 雪币： 242 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	wulongxian 20 楼很详细的，支持 2012-4-4 21:42 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 21 楼这种强文怎么能不顶呢，太适合我了 2012-4-18 10:23 0
abcgoodwei 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	abcgoodwei 22 楼 Mark Dpc 2012-4-25 09:56 0
WFsong 雪币： 381 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	WFsong 23 楼给力好文，支持一个 2012-10-31 17:25 0
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 1 关注私信	wertyuyuyu 4 24 楼谢谢分享，楼主太牛了 2012-11-2 22:21 0
Edj 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	Edj 25 楼很详细,非常感谢.MARK 2013-1-30 15:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复