• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>
            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            posts - 101,  comments - 57,  trackbacks - 0

                     以前看某些文章的時(shí)候,知道可以利用“活動(dòng)進(jìn)程鏈”隱藏或者檢測(cè)進(jìn)程。對(duì)于如何定位活動(dòng)進(jìn)程鏈一直沒搞清楚,在看Rootkit那本書上說,通過PsGetCurrentProcess函數(shù)可以獲得EPROCESS,但是書中解釋的很模糊,一直沒看明白。
            今天利用WinDbg查看了各個(gè)結(jié)構(gòu),終于把疑問搞清楚了。
            PsGetCurrentProcessº¯Êý·´»ã±àºóÊÇÕâÑù£º
            lkd> u nt!PsGetCurrentProcess
            nt!PsGetCurrentProcess:
            8052b52c 64a124010000         mov          eax,dword ptr fs:[00000124h]
            8052b532 8b4044                   mov          eax,dword ptr [eax+44h]
            8052b535 c3                          ret

            ÔÚÓû§Ä£Ê½Ï£¬FSÖ¸ÏòTEB½á¹¹£¬¶øÔÚÄÚºËģʽÏÂFSÈ´Ö¸ÏòKPCR£¨Kernel's Processor Control Region£©½á¹¹¡£ÄÇô¿ÉÒÔ¿´µ½FS:[0x120]´¦¾ÍÊÇKPRCB£¨Kernel's Processor Cotrol Block£©½á¹¹£¨¿´ÏÂͼºìÉ«¸ßÁÁ´¦£©
            lkd> dt nt!_kpcr
            nt!_KPCR
                    +0x000 NtTib                 : _NT_TIB
                    +0x01c SelfPcr               : Ptr32 _KPCR
                    +0x020 Prcb                  : Ptr32 _KPRCB
                    +0x024 Irql                  : UChar
                    +0x028 IRR                   : Uint4B
                    +0x02c IrrActive             : Uint4B
                    +0x030 IDR                   : Uint4B
                    +0x034 KdVersionBlock        : Ptr32 Void
                    +0x038 IDT                   : Ptr32 _KIDTENTRY
                    +0x03c GDT                   : Ptr32 _KGDTENTRY
                    +0x040 TSS                   : Ptr32 _KTSS
                    +0x044 MajorVersion          : Uint2B
                    +0x046 MinorVersion          : Uint2B
                    +0x048 SetMember             : Uint4B
                    +0x04c StallScaleFactor : Uint4B
                    +0x050 DebugActive           : UChar
                    +0x051 Number                : UChar
                    +0x052 Spare0                : UChar
                    +0x053 SecondLevelCacheAssociativity : UChar
                    +0x054 VdmAlert              : Uint4B
                    +0x058 KernelReserved        : [14] Uint4B
                    +0x090 SecondLevelCacheSize : Uint4B
                    +0x094 HalReserved           : [16] Uint4B
                    +0x0d4 InterruptMode         : Uint4B
                    +0x0d8 Spare1                : UChar
                    +0x0dc KernelReserved2       : [17] Uint4B
               +0x120 PrcbData              : _KPRCB
            Õ¹¿ªKPRCB½á¹¹¼ÌÐø¹Û²ì¿ÉÒÔ¿´µ½FS:[0x124]Ö¸ÏòÁËKTHREAD½á¹¹
            lkd> dt nt!_kprcb
            nt!_KPRCB
                    +0x000 MinorVersion          : Uint2B
                    +0x002 MajorVersion          : Uint2B
               +0x004 CurrentThread         : Ptr32 _KTHREAD
                    +0x008 NextThread            : Ptr32 _KTHREAD
                    +0x00c IdleThread            : Ptr32 _KTHREAD
            ......本結(jié)構(gòu)更多成員省略

            繼續(xù)查看KTHREAD結(jié)構(gòu)可以看到KTHREAD+0x44處成員就是KPROCESS指針

            lkd> dt nt!_kthread -v -r
            Matched nt!_KTHREAD
            nt!_KTHREAD
            struct _KTHREAD, 73 elements, 0x1c0 bytes
                    +0x000 Header                : struct _DISPATCHER_HEADER, 6 elements, 0x10 bytes
                       +0x000 Type                  : UChar
                       +0x001 Absolute              : UChar
                       +0x002 Size                  : UChar
                       +0x003 Inserted              : UChar
                       +0x004 SignalState           : Int4B
                       +0x008 WaitListHead          : struct _LIST_ENTRY, 2 elements, 0x8 bytes
                          +0x000 Flink                 : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
                          +0x004 Blink                 : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
                    +0x010 MutantListHead        : struct _LIST_ENTRY, 2 elements, 0x8 bytes
                       +0x000 Flink                 : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
                          +0x000 Flink                 : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
                          +0x004 Blink                 : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
                       +0x004 Blink                 : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
                          +0x000 Flink                 : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
                          +0x004 Blink                 : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
                    +0x018 InitialStack          : Ptr32 to Void
                    +0x01c StackLimit            : Ptr32 to Void
                    +0x020 Teb                   : Ptr32 to Void
                    +0x024 TlsArray              : Ptr32 to Void
                    +0x028 KernelStack           : Ptr32 to Void
                    +0x02c DebugActive           : UChar
                    +0x02d State                 : UChar
                    +0x02e Alerted               : [2] UChar
                    +0x030 Iopl                  : UChar
                    +0x031 NpxState              : UChar
                    +0x032 Saturation            : Char
                    +0x033 Priority              : Char
              +0x034 ApcState              : struct _KAPC_STATE, 5 elements, 0x18 bytes
                       +0x000 ApcListHead           : [2] struct _LIST_ENTRY, 2 elements, 0x8 bytes
                          +0x000 Flink                 : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
                          +0x004 Blink                 : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
                  +0x010 Process               : Ptr32 to struct _KPROCESS, 29 elements, 0x6c bytes

            至此,我們已經(jīng)搞清了PsGetCurrentProcess的流程
            通過查DDK DOC發(fā)現(xiàn)MS對(duì)PsGetCurrentProcess函數(shù)是這樣描述的:
            PsGetCurrentProcess returns a pointer to the process of the current thread.
            PEPROCESS
                   PsGetCurrentProcess(
                     );
            該函數(shù)的返回值是EPROCESS指針。但是我們分析的結(jié)果是函數(shù)的返回值是KPROCESS的指針。
            這樣的話難道PsGetCurrentProcess 函數(shù)返回值既是EPROCESS的指針又是KPROCESS的指針?
            帶著疑問我們繼續(xù)往下看:
            lkd> dt nt!_eprocess
            nt!_EPROCESS
               +0x000 Pcb                   : _KPROCESS
                    +0x06c ProcessLock           : _EX_PUSH_LOCK
                    +0x070 CreateTime            : _LARGE_INTEGER
                    +0x078 ExitTime              : _LARGE_INTEGER
                    +0x080 RundownProtect        : _EX_RUNDOWN_REF
               +0x084 UniqueProcessId       : Ptr32 Void
                    +0x088 ActiveProcessLinks : _LIST_ENTRY
            可以看到EPROCESS的第一個(gè)成員就是KPROCESS,這樣我們就明白了為什么PsGetCurrentProcess 函數(shù)返回值既是EPROCESS的地址又是KPROCESS的地址了。在EPROCESS偏移0x84是進(jìn)程的PID,偏移0x88(我的系統(tǒng)是XP SP2)就是我們要找的活動(dòng)進(jìn)程鏈了。
            以上是我今天學(xué)習(xí)的一些收獲,如果大家認(rèn)為有哪些不對(duì)的地方,請(qǐng)指正。 

            posted on 2007-08-24 09:25 margin 閱讀(1323) 評(píng)論(0)  編輯 收藏 引用

            只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。
            網(wǎng)站導(dǎo)航: 博客園   IT新聞   BlogJava   博問   Chat2DB   管理


            <2025年7月>
            293012345
            6789101112
            13141516171819
            20212223242526
            272829303112
            3456789

            常用鏈接

            留言簿

            隨筆檔案

            文章分類

            文章檔案

            收藏夾

            常去的壇子

            • CVC電腦病毒論壇
            • 很多人說我是AV,我告訴他們:別瞧不起人,我們也能創(chuàng)造價(jià)值
            • 安全焦點(diǎn)
            • 黑客聚集的地方,一般是好酒最多的地方...
            • 看雪論壇
            • 國(guó)內(nèi)最強(qiáng)的加密解密論壇,成醉其中經(jīng)常夜不歸宿
            • 驅(qū)動(dòng)開發(fā)論壇
            • 厭倦了啤的朋友們,來我們來整點(diǎn)白的...痛痛快快的BSOD也好過隔鞋瘙癢!

            我的朋友

            • Sen的blog
            • IDE方面資深的受害者...經(jīng)常為一個(gè)變量的定義找不著北的痛苦程序員(深表同情)
            • 老羅的blog
            • 良師益友,千年水牛,引擎猛男,分析怪獸,墨鏡酷哥,臺(tái)球高手....

            搜索

            •  

            最新評(píng)論

            久久精品无码免费不卡| 狠狠色丁香久久婷婷综合图片| 久久精品中文无码资源站| 久久人人爽人人爽人人片AV不 | 国内精品久久久久久99| 99久久精品费精品国产一区二区| 一本一道久久a久久精品综合| 伊人久久大香线蕉综合影院首页| 久久精品毛片免费观看| 久久精品国产亚洲av瑜伽| 亚洲精品乱码久久久久久| 久久国产综合精品五月天| 久久精品国产AV一区二区三区| 国产精品久久久久影院色| 一级a性色生活片久久无少妇一级婬片免费放 | 中文字幕亚洲综合久久菠萝蜜| 久久久久女人精品毛片| 亚洲欧美国产精品专区久久| 久久精品国产99国产精偷| 精品综合久久久久久98| 久久涩综合| 久久97久久97精品免视看秋霞| 久久精品无码一区二区无码| 亚洲国产精品无码久久九九| 99久久国产主播综合精品| 国内精品久久久久| 无码伊人66久久大杳蕉网站谷歌| 久久久久综合国产欧美一区二区| 秋霞久久国产精品电影院| 97久久天天综合色天天综合色hd| 久久久久久国产精品美女| 人妻无码精品久久亚瑟影视| 国产99久久久国产精品~~牛 | 欧美亚洲国产精品久久久久| 精品国产青草久久久久福利| 日韩亚洲欧美久久久www综合网 | 精品国产日韩久久亚洲| 久久综合九色综合欧美就去吻| 久久无码人妻精品一区二区三区 | 国产AV影片久久久久久| 亚洲国产精品热久久|