[求助]怎么找不到pspcidtable？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼你先了解一下句柄表的结构再来研究PspCidTable吧。在你显示的数据中，现在是二级表，所以TableCode掩去低两位之后得到的地址里放的是一级表的指针，每个一级表里才放的是进线程对象。建议你先补一下基础知识，可以参考sudami的1文章，网上资料也很多 2009-2-26 18:42 0
yaolibing 雪币： 252 活跃值： (13) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 68 粉丝 0 关注私信	yaolibing 3 楼谢谢教主。看了sudami的文章，但是我不懂if (i <= 0x800) { // 第一张表中是什么得到的？ VOID IsValidProcess () /++ Author : 第8个男人 Leaner : sudami [xiao_rui_119@163.com] Time : 08/02/15 参数 : NULL 返回 : NULL 功能 : 给出PspCidTable的地址,结合_EXHANDLE、HANDLE_TABLE、HANDLE_TABLE_ENTRY 搜索到每个进程对象,纪录之. 前提条件: 假设暂且PspCidTable没有被抹掉 --/ { ULONG PspCidTable; ULONG TableCode; ULONG table1,table2; ULONG object,objectheader; ULONG NextFreeTableEntry; ULONG processtype,type; ULONG flags; ULONG i; PspCidTable = GetCidAddr(); // 搜索PsLookupProcessByProcessId函中的特征串即可 processtype = GetProcessType(); if (PspCidTable == 0) { return ; } else { //TableCode的低2位决定句柄表的级数 TableCode = (PULONG) ( (PULONG) PspCidTable ); if ( (TableCode & 3) == 0 ) { // 0级 table1 = TableCode; table2 = 0; } else if ( (TableCode & 3 ) == 1 ) { // 1级 TableCode = TableCode & 0xfffffffc; table1 = (PULONG)TableCode; table2 = (PULONG)( TableCode + 4 ); } // 对cid从0x0到0x4e1c进行遍历 for (i = 0; i < 0x4e1c; i++) { if (i <= 0x800) { // 第一张表中 if (MmIsAddressValid( (PULONG)(table1 + i2) )) { // HANDLE_TABLE_ENTRY地址 + PID 2 ---> 对象的地址 object = (PULONG)( table1 + i2 ); if (MmIsAddressValid( (PULONG)(table1 + i2 + NEXTFREETABLEENTRY) )) { // 验证HANDLE_TABLE_ENTRY的合法性,这在ExEnumHandleTable函数的代码中也有 // 正常的_HANDLE_TABLE_ENTRY中NextFreeTableEntry应该为0 NextFreeTableEntry = (PULONG)(table1 + i2 + NEXTFREETABLEENTRY); if (NextFreeTableEntry == 0) { // 去掉低3位掩码标志 object = ((object \| 0x80000000) & 0xfffffff8); // 转换为对象(体)指针 objectheader = (ULONG) \ OBJECT_TO_OBJECT_HEADER(object); // 获取对象(头)指针 if (MmIsAddressValid( (PULONG)(objectheader + TYPE) )) { type = (PULONG)(objectheader + TYPE); if (type == processtype) { // 是否为进程对象 flags = (PULONG)( (ULONG)object + \ GetPlantformDependentInfo(OFFSET_EPROCESS_FLAGS) ); if ((flags&0xc) != 0xc) RecordInfo( object ); //flags显示进程没有退出 } } } } } } else { // 第2张表 if (table2 != 0) { // 步骤同上,只是object的获取为: HANDLE_TABLE_ENTRY地址 + (PID- 0x800)2 if (MmIsAddressValid( (PULONG)(table2 + (i - 0x800)2) )) { object = (PULONG)(table2 + (i - 0x800)2); if (MmIsAddressValid((PULONG)((table2+(i-0x800)2)+NEXTFREETABLEENTRY))) { NextFreeTableEntry=(PULONG)((table2+(i-0x800)2)+NEXTFREETABLEENTRY); if (NextFreeTableEntry==0x0) { object = ((object \| 0x80000000) & 0xfffffff8); objectheader = (ULONG) OBJECT_TO_OBJECT_HEADER(object); if (MmIsAddressValid( (PULONG)(objectheader + TYPE) )) { type = (PULONG)(objectheader + TYPE); if(type == processtype) { flags = (PULONG) ((ULONG)object + \ GetPlantformDependentInfo(OFFSET_EPROCESS_FLAGS)); if ((flags&0xc) != 0xc) RecordInfo(object); } } } } } } } } } } 2009-2-28 15:00 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼一个一级表的大小是一页即0x1000字节，而HANDLE_TABLE_ENTRY的大小为8字节，因此可存放的ENTRY个数为0x1000/8=0x200个，而句柄从0开始以4为步长递增，因此一级表的最大句柄为0x200*4=0x800 2009-2-28 15:55 0
暗夜盗魔雪币： 2522 活跃值： (667) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 62 粉丝 80 关注私信	暗夜盗魔 1 5 楼对这个不也不懂！！在第一次遍历时还好理解！基址是table1 第二次时成了table1 + 2，遍历的结构不是Handle_Table_entry么，是8个字节，为什么不是 table+8呢？？？不懂！！！！！ 2009-2-28 17:01 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼如果是二级表的话，表里放的就不是HANDLE_TABLE_ENTRY了，而是指向一级表的指针，当然不一样了 2009-2-28 17:35 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼建议把基础搞清除句柄三级表 2009-6-1 11:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼你先了解一下句柄表的结构再来研究PspCidTable吧。在你显示的数据中，现在是二级表，所以TableCode掩去低两位之后得到的地址里放的是一级表的指针，每个一级表里才放的是进线程对象。建议你先补一下基础知识，可以参考sudami的1文章，网上资料也很多 2009-2-26 18:42 0
yaolibing 雪币： 252 活跃值： (13) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 68 粉丝 0 关注私信	yaolibing 3 楼谢谢教主。看了sudami的文章，但是我不懂if (i <= 0x800) { // 第一张表中是什么得到的？ VOID IsValidProcess () /++ Author : 第8个男人 Leaner : sudami [xiao_rui_119@163.com] Time : 08/02/15 参数 : NULL 返回 : NULL 功能 : 给出PspCidTable的地址,结合_EXHANDLE、HANDLE_TABLE、HANDLE_TABLE_ENTRY 搜索到每个进程对象,纪录之. 前提条件: 假设暂且PspCidTable没有被抹掉 --/ { ULONG PspCidTable; ULONG TableCode; ULONG table1,table2; ULONG object,objectheader; ULONG NextFreeTableEntry; ULONG processtype,type; ULONG flags; ULONG i; PspCidTable = GetCidAddr(); // 搜索PsLookupProcessByProcessId函中的特征串即可 processtype = GetProcessType(); if (PspCidTable == 0) { return ; } else { //TableCode的低2位决定句柄表的级数 TableCode = (PULONG) ( (PULONG) PspCidTable ); if ( (TableCode & 3) == 0 ) { // 0级 table1 = TableCode; table2 = 0; } else if ( (TableCode & 3 ) == 1 ) { // 1级 TableCode = TableCode & 0xfffffffc; table1 = (PULONG)TableCode; table2 = (PULONG)( TableCode + 4 ); } // 对cid从0x0到0x4e1c进行遍历 for (i = 0; i < 0x4e1c; i++) { if (i <= 0x800) { // 第一张表中 if (MmIsAddressValid( (PULONG)(table1 + i2) )) { // HANDLE_TABLE_ENTRY地址 + PID 2 ---> 对象的地址 object = (PULONG)( table1 + i2 ); if (MmIsAddressValid( (PULONG)(table1 + i2 + NEXTFREETABLEENTRY) )) { // 验证HANDLE_TABLE_ENTRY的合法性,这在ExEnumHandleTable函数的代码中也有 // 正常的_HANDLE_TABLE_ENTRY中NextFreeTableEntry应该为0 NextFreeTableEntry = (PULONG)(table1 + i2 + NEXTFREETABLEENTRY); if (NextFreeTableEntry == 0) { // 去掉低3位掩码标志 object = ((object \| 0x80000000) & 0xfffffff8); // 转换为对象(体)指针 objectheader = (ULONG) \ OBJECT_TO_OBJECT_HEADER(object); // 获取对象(头)指针 if (MmIsAddressValid( (PULONG)(objectheader + TYPE) )) { type = (PULONG)(objectheader + TYPE); if (type == processtype) { // 是否为进程对象 flags = (PULONG)( (ULONG)object + \ GetPlantformDependentInfo(OFFSET_EPROCESS_FLAGS) ); if ((flags&0xc) != 0xc) RecordInfo( object ); //flags显示进程没有退出 } } } } } } else { // 第2张表 if (table2 != 0) { // 步骤同上,只是object的获取为: HANDLE_TABLE_ENTRY地址 + (PID- 0x800)2 if (MmIsAddressValid( (PULONG)(table2 + (i - 0x800)2) )) { object = (PULONG)(table2 + (i - 0x800)2); if (MmIsAddressValid((PULONG)((table2+(i-0x800)2)+NEXTFREETABLEENTRY))) { NextFreeTableEntry=(PULONG)((table2+(i-0x800)2)+NEXTFREETABLEENTRY); if (NextFreeTableEntry==0x0) { object = ((object \| 0x80000000) & 0xfffffff8); objectheader = (ULONG) OBJECT_TO_OBJECT_HEADER(object); if (MmIsAddressValid( (PULONG)(objectheader + TYPE) )) { type = (PULONG)(objectheader + TYPE); if(type == processtype) { flags = (PULONG) ((ULONG)object + \ GetPlantformDependentInfo(OFFSET_EPROCESS_FLAGS)); if ((flags&0xc) != 0xc) RecordInfo(object); } } } } } } } } } } 2009-2-28 15:00 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼一个一级表的大小是一页即0x1000字节，而HANDLE_TABLE_ENTRY的大小为8字节，因此可存放的ENTRY个数为0x1000/8=0x200个，而句柄从0开始以4为步长递增，因此一级表的最大句柄为0x200*4=0x800 2009-2-28 15:55 0
暗夜盗魔雪币： 2522 活跃值： (667) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 62 粉丝 80 关注私信	暗夜盗魔 1 5 楼对这个不也不懂！！在第一次遍历时还好理解！基址是table1 第二次时成了table1 + 2，遍历的结构不是Handle_Table_entry么，是8个字节，为什么不是 table+8呢？？？不懂！！！！！ 2009-2-28 17:01 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼如果是二级表的话，表里放的就不是HANDLE_TABLE_ENTRY了，而是指向一级表的指针，当然不一样了 2009-2-28 17:35 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼建议把基础搞清除句柄三级表 2009-6-1 11:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复