[原创]枚举进程定时器-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]枚举进程定时器

发表于: 2013-1-17 16:58 20009

[原创]枚举进程定时器

房有亮

2013-1-17 16:58

20009

这个进程定时器 Xuetr Pt 都有这个功能，这个功能也很实用，这个大家都知道，
群里前些日子有人说起这进程定时器怎么枚举，发出来给大家玩玩
以XP分析为主，不怎么会说话，我就以图片为主。
首先要分析 user32.dll 的 SetTimer 函数，至于这个函数作用大家都知道，
用 IDA 打开 use32.dll 找到 SetTimer

调用的是NtUserSetTimer，继续跟

继续跟call __SetTimer@16 ; _SetTimer(x,x,x,x)
进入__SetTimer@16

继续跟call _InternalSetTimer@20 ; InternalSetTimer(x,x,x,x,x)
进入InternalSetTimer

call _FindTimer@16 ; FindTimer(x,x,x,x)
关键函数FindTimer，进入FindTimer看看

mov     eax, _gptmrFirst
通过2K代码，知道_gptmrFirst 就是进程定时器的一个表里面存放着所有进程定时器信息
2K代码我就不贴了，相信大家都有
// 进程定时器结构
typedef struct _HEAD {
  HANDLE h;
  DWORD cLockObj;
} HEAD, *PHEAD;

typedef struct tagTIMER {
  HEAD head;
  // 下个结构
  struct tagTIMER *ptmrNext;
  struct tagTIMER *ptmrPrev;
  PULONG pti;
  // 窗口句柄
  PULONG spwnd;
  // 定时器ID
  UINT_PTR nID;
  // 倒计时
  INT cmsCountdown;
  // 间隔时间
  INT cmsRate;
  UINT flags;
  // 函数入口
  ULONG pfn;
  PULONG ptiOptCreator;
} TIMER, *PTIMER;
这就是定时器的结构
找到了关键的表，那么枚举就容易了，我只贴枚举的代码，全贴太长了，没必要。

这里以XP分析为主，2K3的略有不同，但是大体相同主要是定位问题，WIN7 没研究出来，
WIN7的那个表与结构完全与XP 2K3不同，希望研究出来的朋友能分享下。
效果图：

[课程]Linux pwn 探索篇！

上传的附件：

1.jpg （61.22kb，32次下载）
2.jpg （70.98kb，17次下载）
3.jpg （104.52kb，13次下载）
4.jpg （110.16kb，8次下载）
5.jpg （72.07kb，3次下载）
6.jpg （35.74kb，198次下载）
7.jpg （85.08kb，39次下载）
8.jpg （100.97kb，26次下载）

收藏・34

免费・6

支持

最新回复 (16)
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 2 楼大师布道，排队听课。 2013-1-17 17:06 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 3 楼无敌，我菜鸟一枚。。。。 2013-1-17 17:18 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 4 楼确实，windows从win2k8开始，这个结构差别就大了。俺枚举的时候硬编码了偏移，哈哈。上传的附件： 2013-01-17_175504.png （3.61kb，2次下载） 2013-1-17 17:57 0
darkplayer 雪币： 284 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 151 粉丝 0 关注私信	darkplayer 5 楼 mark.msrlk. 2013-1-17 18:20 0
liangxue 雪币： 88 活跃值： (47) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 32 粉丝 1 关注私信	liangxue 2 6 楼 NtosTools 这个工具( ^_^ )不错楼主自己写的吧 2013-1-17 19:30 0
KOEIKOEI 雪币： 77 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 134 粉丝 0 关注私信	KOEIKOEI 7 楼万一火了也是个前排哈哈 mark下等有空慢品 2013-1-17 23:39 0
Hoiker 雪币： 564 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 80 粉丝 0 关注私信	Hoiker 8 楼 IDA不熟, 第二张图怎么跟进去的? 2013-1-18 02:41 0
rock 雪币： 225 活跃值： (173) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 323 粉丝 1 关注私信	rock 9 楼关键是 gptmrFirst 地址怎么获取啊 2013-1-18 09:20 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 10 楼 Thanks for share. 2013-1-18 09:36 0
Crakme 雪币： 2190 活跃值： (981) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 11 楼 ntostools这是什么神器？ 2013-1-18 13:47 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 12 楼忘记说了，第二张以后的图都是 win32k.sys 2013-1-18 19:58 0
Hoiker 雪币： 564 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 80 粉丝 0 关注私信	Hoiker 13 楼怪不得,呵呵前些天分析好久找不到, 现在找到了。感谢LZ指点、进军kernal 2013-1-21 11:55 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 14 楼好文章，学习了。 2013-3-19 08:40 0
cyclent 雪币： 170 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	cyclent 15 楼学习了！！！感谢 2013-7-26 21:39 0
乐乐侠雪币： 14 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 105 粉丝 0 关注私信	乐乐侠 16 楼支持！！！ 2013-10-2 10:01 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 17 楼 mark,也许将来用得着呢 2014-8-29 22:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

房有亮

100

发帖

655

回帖

200

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 2 楼大师布道，排队听课。 2013-1-17 17:06 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 3 楼无敌，我菜鸟一枚。。。。 2013-1-17 17:18 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 4 楼确实，windows从win2k8开始，这个结构差别就大了。俺枚举的时候硬编码了偏移，哈哈。上传的附件： 2013-01-17_175504.png （3.61kb，2次下载） 2013-1-17 17:57 0
darkplayer 雪币： 284 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 151 粉丝 0 关注私信	darkplayer 5 楼 mark.msrlk. 2013-1-17 18:20 0
liangxue 雪币： 88 活跃值： (47) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 32 粉丝 1 关注私信	liangxue 2 6 楼 NtosTools 这个工具( ^_^ )不错楼主自己写的吧 2013-1-17 19:30 0
KOEIKOEI 雪币： 77 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 134 粉丝 0 关注私信	KOEIKOEI 7 楼万一火了也是个前排哈哈 mark下等有空慢品 2013-1-17 23:39 0
Hoiker 雪币： 564 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 80 粉丝 0 关注私信	Hoiker 8 楼 IDA不熟, 第二张图怎么跟进去的? 2013-1-18 02:41 0
rock 雪币： 225 活跃值： (173) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 323 粉丝 1 关注私信	rock 9 楼关键是 gptmrFirst 地址怎么获取啊 2013-1-18 09:20 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 10 楼 Thanks for share. 2013-1-18 09:36 0
Crakme 雪币： 2190 活跃值： (981) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 11 楼 ntostools这是什么神器？ 2013-1-18 13:47 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 12 楼忘记说了，第二张以后的图都是 win32k.sys 2013-1-18 19:58 0
Hoiker 雪币： 564 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 80 粉丝 0 关注私信	Hoiker 13 楼怪不得,呵呵前些天分析好久找不到, 现在找到了。感谢LZ指点、进军kernal 2013-1-21 11:55 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 14 楼好文章，学习了。 2013-3-19 08:40 0
cyclent 雪币： 170 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	cyclent 15 楼学习了！！！感谢 2013-7-26 21:39 0
乐乐侠雪币： 14 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 105 粉丝 0 关注私信	乐乐侠 16 楼支持！！！ 2013-10-2 10:01 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 17 楼 mark,也许将来用得着呢 2014-8-29 22:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复