僅自己做備忘...


問題1.pspcidtable不是全局變量嗎?咋個不能聲明直接用?
結論:
因為它沒有導出...? 其實那個SSDT的結構能用是因為它導出了的...

問題2.(在windbg調試第三篇的補充內容那.....)

問題3.咋個,以及為什么那個HANDLE的值,TableCode的指針和對象體的指針低2位都要是0?
結論:
為了內存對齊~ 這樣,內存以4字節一單位劃分,指針的值是內存地址 必須能被4整除,所以指針的開始2位必須為0(必須為4的倍數) 搜索內存的時候就以4字節為單位搜索 減少搜索時間

感悟1:

? ?? ? if (*(PUSHORT)cPtr == 0x35FF && *(pOpcode + 6) == 0xE8)
? ?? ? {
? ?? ?? ?pPspCidTable = **(PVOID **)(pOpcode + 2);
? ?? ?? ?break;
? ?? ? }
這個代碼是在PsLookUpProcessByProcessId的函數內定位pspcidtable
我反了下這個PsLookUpProcessByProcessId函數

kd> uf nt!PsLookUpProcessByProcessId
nt!PsLookupProcessByProcessId:
......
805ca42e ff35e0b25580??? push??? dword ptr [nt!PspCidTable (8055b2e0)]
805ca434 e84bb50300????? call??? nt!ExMapHandleToPointer (80605984)
......

大概就是內存特征定位吧 哈哈 紅色標注的地方就是pspcidtable的地址拉
也就是說在整個函數中,pspcidtable的地址前面是0xff35 后面是 0xe8
通過這個特征找到0xff35和 0xe8之間的這8字節的數據就是pspcidtable的地址
當然拉看起來不像是吧? 內存存放順序跟我們看的不一樣 是以2字節為單位 壓棧壓進去的
所以邏輯上的順序和內存上的順序是正好相反的
所以紅色字體以2個字節倒著排過來就是 8055b2e0
我們拿windbg看看
kd> dd pspcidtable
8055b2e0? e1000860 00000002 00000000 00000000

看 果然是pspcidtable的地址 神奇阿~~

感悟2:
記得 <<基于pspCidTable的進程檢測技術>>這篇牛文里面說過獲取pspcidtable的方法還有一個 就是
KdEnableDebugger->KdInitSystem->KdDebuggerDataBlock
->KDDEBUGGER_DATA32->PspCidTable
這個流程 其實跟那個PsLookUpProcessByProcessId差不多 都是內存定位
但是我們群的牛哥哥說了個更加易用的方法~

#define GetVar( x )??? ??? (*(PULONG)((*(PULONG)0xffdff034) + (ULONG)(x)))
PspCidTable = GetVar(0x80);

就這么簡單....? 原理很簡單...? 0xffdff000是KPCR這個結構變量的地址
那么0x34就是KdVersionBlock 成員變量在該結構中的偏移
但是在0xffdff034指向的地方對應有個結構_DBGKD_GET_VERSION64
可惜的是這個結構只有0x28字節大小 但是....嘿嘿? 這個結構后面藏著N多超級重要的內核變量
我們的pspcidtable這個變量其實就在這個結構起始位置的0x80字節偏移處~
如此一來 我拿sp3的xp系統調試如下:
kd> dd 0xffdff034
ffdff034? 80546b38 8003f400 8003f000 80042000

kd> dd 80546b38+0x80
80546bb8? 8055b2e0 00000000 8055d708 00000000

kd> dd pspcidtable
8055b2e0? e1000860 00000002 00000000 00000000

其實0xffdff034指向的地方對應的結構體應該就是傳說中的KDDEBUGGER_DATA32這個結構(windbg看了下說沒這個符號...)?
typedef struct _KDDEBUGGER_DATA32 {
? ???DBGKD_DEBUG_DATA_HEADER32 Header;
? ???ULONG? ? KernBase;
? ???ULONG? ? BreakpointWithStatus;? ?? ?// address of breakpoint
? ???ULONG? ? SavedContext;
? ???USHORT? ? ThCallbackStack;? ?? ?? ?// offset in thread data
? ???USHORT? ? NextCallback;? ?? ?? ? // saved pointer to next callback frame
? ???USHORT? ? FramePointer;? ?? ?? ? // saved frame pointer
? ???USHORT? ? PaeEnabled:1;
? ???ULONG? ? KiCallUserMode;? ?? ?? ?// kernel routine
? ???ULONG? ? KeUserCallbackDispatcher;? ? // address in ntdll

? ???ULONG? ? PsLoadedModuleList;
? ???ULONG? ? PsActiveProcessHead;
? ???ULONG? ? PspCidTable;? ?? ?? ?// <--------- What we need!!
? ???//...
? ???ULONG? ? MmLoadedUserImageList;
} KDDEBUGGER_DATA32, *PKDDEBUGGER_DATA32;
大概就是這樣的 呵呵 里面保存著比較重要的變量比如pspcidtable PsActiveProcessHead
PsLoadedModuleList等等? 重要的是這個地址貌似是硬編碼進去的 也就是說好像只要是NT內核的機器這個地址是不會變的,什么?根據?嘿嘿...
據某老外文獻記載:
;?Start?of?the?architecturally?defined?section?of?the?PCR.?This?section
;?may?be?directly?addressed?by?vendor/platform?specific?HAL?code?and?will
;?not?change?from?version?to?version?of?NT.
?
看沒看沒 反正我sp3上機器可以 的確是這個地址 沒錯




涉及到的學習資料
http://bbs.pediy.com/showthread.php?p=13746
http://www.0GiNr.com/
http://bbs.pediy.com/showthread.php?t=73028
futo 抹句柄表
Rootkits.com? opc0de