内核-句柄表
私有句柄表
属于一个程序独有的 每个程序都有属于自己程序的句柄表 里面存储了所有本程序打开的内核对象
内核对象
进程创建 或打开内核对象的时候 将获得句柄,通过句柄访问内核对象
为什么需要句柄???
句柄存在的目的是为了避免在应用层直接修改内核对象 应用层要是可以修改 如果修改成无效的地址在传送到0环 操作系统就会崩溃 所以操作系统并没有像用户层公开这个结构体 而是创建了一个句柄表
每个进程都有自己的这样的私有的表 这个表存储在0环 而你的进程里创建几个句柄 表中就用几项 而句柄则是内核句柄表的索引
创建和打开是两种概念
创建:windos会为刚创建的内核对象在0环分配一个结构体
打开:返回之前创建的结构体的地址
句柄表在哪???
句柄表的地址
打开100次内核对象 并不是打开一次给你创建一个结构体 一个内核对象只有一个结构体 打开一次只会增加计数器
拷贝到虚拟机 找到当前进程的句柄表
使用!process 0 0指令 遍历进程 找到我们的进程
找到进程结构体
找到成员
第一个成员 指向一张表 tablecode的低两位 有特殊含义 最后解释
Dd到这个地址
随便拿一个下标 找到真正句柄值的计算方法168 / 4 = 5a
因为句柄表一个成员是8字节
这就是0x168所对应的句柄的值 我们观察下 看这块内存值都是一样的因为他们都是同一个内核对象
这0x0000003a 87bf168b八个字节具体含义是什么哪
代码更改 在看下有什么变化 SetHandleInformation修改的肯定是最后一个句柄因为循环出来最后打开的那个句柄
再次运行 找到最后一个句柄 解析这个句柄
1c4 / 4 = 71 句柄表里面的最后一项
为了和之前的句柄对比 现指令更改成如下 可以看到和之前的句柄值都不同
后四字节........~97bf168b 最后三位 b 1 0 1 1 第二位表示当前的句柄可不可以被继承 像我们当前的句柄是可以被继承的所以是1
而这个句柄值真正指向内核对象的地址是97bf1688 最后三位清0
真正的内核对象的开头都是_OBJECT_HEADER这个结构体
这个句柄表里面值指向的其实是这个完整的结构 我们打开的是进程 地址+18才是EPROCESS 0X16C 就是当前的镜像名称
验证
作用:在反调试的时候 遍历别人的句柄表 看别人的句柄表里有没有我们的句柄 有的话就说明这个程序打开了我
TableCode
低2位为0 一个页4kb 一个成员8字节 最多512个
低2位为1 表示你当前的句柄表结构为2级的 前1级为地址 一个成员4字节 一共1024个成员 而每个成员所指向的才是句柄的信息
低2位为2 就是3级 前两级是地址 第三级才是内核对象信息
全局句柄表
这三个函数在遍历的时候 遍历的其实就是这个表
实验
根据pid的值 在PspCidTable中找到内核对象
首地址 也是HANDLE_TABLE结构的
此时的tablecode的值最后两位为1 说明是两级的 第一级的每个成员为4个字节
PID为十进制的转为16进制就是E88
tablecode低两位为1 E88/4 = 3A2
因为一个表成员个数为512(0x200)
(3A2 / 200)可以判断在哪个表中 在第二个表中
(3A2 % 200)可以判断在第二个表中的下标1a2
1A2就是第二个表的偏移
通过_HANDLE_TABLE_ENTRY结构查看.
也可以使用DQ查看
因为是全局句柄表和私有的句柄表有差异 所以地址直接指向了_EPROCESS
