0.前言

在实际对抗中，攻击者往往第一件事就是一个OpenProcess，然后执行注入、内存读写等操作。OpenProcess会返回一个叫做句柄的东西。而防守方通常对某些进程的句柄非常敏感，通过各种手段使OpenProcess失败或对返回的句柄进行处理，从而将恶意行为扼杀在摇篮里。本章通过学习句柄的一系列知识来体会下句柄防护在实际攻防对抗中的重要性。

1.句柄的获取

当调用OpenProcess时，会传入进程ID、权限等参数。此时系统会通过进程ID去全局句柄表中搜索进程对象，然后把找到的进程对象插入到调用OpenProcess的进程的私有句柄表中，再将插入后的索引返回给调用者，这个索引就是句柄。

线程的句柄获取方式与进程相同。

2.全局句柄表

全局句柄表中存储着当前系统所有进程及线程的对象信息。且全局句柄表中仅存储进程、线程信息。

全局句柄表宏观结构

进程ID、线程ID，每一个ID对应全局句柄表中一个成员，每个ID都是4的整数倍。但全局句柄表每个成员占8字节。宏观体现如下：（假设全局句柄表地址为0x12345670）

当进程、线程数量过多时，一张表的512项显然不够，这时全局句柄表地址最后一位会变成1，代表额外增加一层，宏观体现如下：（全局句柄表地址0x12345671，实际地址为0x12345670，最后一位仅代表层级）

当双层结构也不够存储时，又会增加一层。结构如下：

实战查询进程对象

在虚拟机中随便打开个进程，查看该进程的PID，如dbgview：540（十进制）

全局句柄表存在名为PspCidTable的全局变量中，windbg中查看该变量。

句柄表实质是个名为_HANDLE_TABLE的结构，windbg中查看该结构。

第一个成员TableCode值为0x9a8d6001，最后一位为1，说明有两层结构。第一层表中每个成员占4字节，每个成员都指向一张表。windbg查看第一层。

上文dbgview进程ID为540，每个进程、线程ID都是4的倍数，因此540除以4等于135，索引从0开始，也就是第136个。每个表存储521个进程、线程信息，因此dbgview存在第一张表中。使用windbg命令查看第一张表索引为135的成员：

找到的成员为0000000087fd0571，最后3个二进制位需要清空，就变成了0000000087fd0570，这个地址就是dbgview进程结构的地址：

索引为135的8字节成员同时也是一个名为 _HANDLE_TABLE_ENTRY 的结构，使用dt _HANDLE_TABLE_ENTRY 8d405000+8*0x87 也能得到进程结构体地址。这里直接看低4字节数据是因为全局句柄表中没有权限划分，因此高4字节必然为0。

遍历全局句柄表

上文通过指定进程PID查询到了进程结构体，但全局句柄表中既有进程也有线程，反向查询时单凭一个结构体首地址无法得知这个结构体是进程的还是线程的。

Object_header

每个内核对象地址前面都有一个对象头结构，描述了这个对象的类型。对象头结构占0x18字节。

在windbg中查看全局句柄表中索引为1的对象头信息：

其中TypeIndex成员指明了这个内核对象的类型，这个成员是内核对象类型表的索引值，内核对象类型表存储在全局变量ObTypeIndexTable中，每个成员占4个字节，每个成员都是一个名为_OBJECT_TYPE的结构体。使用windbg查看该内核对象具体类型信息：

3.进程保护

思路：

• 根据指定的PID在全局句柄表中查找该进程的 _HANDLE_TABLE_ENTRY 结构
• 将 _HANDLE_TABLE_ENTRY 结构清空

效果：

无法打开目标进程。

4.私有句柄表

全局句柄表中仅存储所有进程和线程。类似互斥体、事件、信号量这些东西的句柄都存储在调用者进程自身的私有句柄表中。私有句柄表中还存储OpenProcess、OpenThread返回的句柄和从父进程继承的句柄。

使用windbg随便查看一个进程的EPROCESS结构，在偏移0xF4处有一个成员名为ObjectTable，其类型为 _HANDLE_TABLE 。与全局句柄表类型结构一致，查找方式也一致。这个句柄表就是该进程的私有句柄表。

该句柄表结构

该句柄表结构成员信息：

• 进程打开的句柄很少，因为TableCode最后一位为0，只有一层表。
• 私有句柄表中存储了该句柄表所属的进程，通过QuotaProcess与UniqueProcessId成员描述。
• 句柄表成员中有锁结构，Windows在操作句柄表时会加锁防止冲突。
  • HandleLock锁用于修改私有句柄表结构（_HANDLE_TABLE）。
  • HandleContentionEvent锁用于修改私有句柄表中每个句柄结构（_HANDLE_TABLE_ENTRY）。
• HandleTableList成员是一个双向链表，里面存储所有进程的私有句柄表。（此处断链会PG）
• LastFreeHandleEntry：存储最后一次被释放的句柄。
• HandleCount：该私有句柄表中共有多少个句柄。该数值不精确，可以随意更改。

查看句柄表内每个句柄：

第一个句柄为-2，代表当前线程。在3环调用GetCurrentProcess会返回-1代表当前进程，GetCurrentThread返回-2代表当前线程。

继续查看第二个句柄结构：

• Object：对应的内核结构体的ObjectHeader结构体（实际结构体地址大多数需要+0x18），最后3位为权限。
  • 在32位下，对象头结构为0x18大小。
  • 在64位下，大部分对象头结构为0x18大小，但部分对象如文件，对象头结构大小需要计算。
    • 计算方法：该内核结构对应的_OBJECT_TYPE结构下的DefaultObject成员，即为对象头结构大小。
  • 权限（低3个二进制位）：
    • 最后一位：锁位。为0代表加锁了。如进程句柄将该位清0，当尝试结束进程，系统会等待锁被释放，导致无法结束进程，即使恢复为1也无法结束。
    • 倒数第二位：继承位。为1代表句柄可继承，为0代表不可继承。对应OpenProcess一类API的第二个参数。
    • 倒数第三位（现在已经被转移到从最高位开始第6位，从0开始）：可否被关闭位。为1，句柄无法被关闭（CloseHandle）。
• GrantedAccess：访问权限。在打开进程、文件、线程时，有一个参数为访问权限，这里对应的就是传入的权限。

5.进程防降权

进程保护思路

一些公司为了防止自身进程被操作，会遍历系统中所有进程的私有句柄表。如果发现某个进程的私有句柄表有自己的进程（判断进程名、进程ID、CR3、进程结构体地址等手段），就清空该私有句柄表的自身句柄的权限位（_HANDLE_TABLE_ENTRY->GrantedAccess）。这样导致该句柄不再具有读写等权限，从而保护自身进程。

进程提权（防降权）思路

由于我们的进程打开目标进程后，私有句柄表内的句柄权限被循环清空，导致无法读写目标进程的内存或只能查看很短的时间。因此我们需要进行句柄的替换。

1. 构建EPROCESS结构。将目标进程的EPROCESS结构复制到我们构建的那块内存中。
2. 将新构建的EPROCESS结构中的PID、进程名清空或修改。
3. 将目标进程的第一级页表的内容复制到一块新内存中，并将新构建的EPROCESS结构的DirectoryTableBase改为新内存的物理地址，从而实现CR3的替换。
4. 修改我们自身进程的私有句柄表中的目标进程的句柄结构的Object为新构建的EPROCESS结构。
5. 此时我们再拿着新的句柄操作的进程与目标进程是同一个进程空间，但是指向的进程结构却是不同的。

需注意句柄结构中Object成员包含0x18大小的对象头部数据，在复制时要将目标进程的对象头结构一同复制。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界