免費論壇 繁體 | 簡體
Sclub交友聊天~加入聊天室當版主
分享
新浪微博
QQ空间
Facebook
Google+
Plurk
Twitter
Line
返回列表 发帖

Rank: 9Rank: 9Rank: 9
1# 跳转到 » 倒序看帖
打印
tT
forwe发表于 2013-10-9 21:16 | 只看该作者

通过函数 ExEnumHandleTable 得到进程的 EPROCESS

Driver.h
  1. #ifdef __cplusplus
  2. extern "C"
  3. {
  4. #endif
  5. #include <ntddk.h>
  6. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath);

  8. #ifdef __cplusplus
  9. }
  10. #endif

  12. #define PAGEDCODE code_seg("PAGE")
  13. #define LOCKEDCODE code_seg()
  14. #define INITCODE code_seg("INIT")

  16. #define PAGEDDATA data_seg("PAGE")
  17. #define LOCKEDDATA data_seg()
  18. #define INITDATA data_seg("INIT")

  20. #define arraysize(p) (sizeof(p)/sizeof((p)[0]))

  22. VOID DriverUnload(IN PDRIVER_OBJECT DriverObject);


  25. #define HANDLE_TRACE_DB_MAX_STACKS 65536
  26. #define HANDLE_TRACE_DB_MIN_STACKS 128
  27. #define HANDLE_TRACE_DB_DEFAULT_STACKS 4096
  28. #define HANDLE_TRACE_DB_STACK_SIZE 16

  30. typedef struct _HANDLE_TRACE_DB_ENTRY {
  31.         CLIENT_ID ClientId;
  32.         HANDLE Handle;
  33. #define HANDLE_TRACE_DB_OPEN    1
  34. #define HANDLE_TRACE_DB_CLOSE   2
  35. #define HANDLE_TRACE_DB_BADREF  3
  36.         ULONG Type;
  37.         PVOID StackTrace[HANDLE_TRACE_DB_STACK_SIZE];
  38. } HANDLE_TRACE_DB_ENTRY, *PHANDLE_TRACE_DB_ENTRY;


  41. typedef struct _HANDLE_TRACE_DEBUG_INFO {

  43.         LONG RefCount;



  47.         ULONG TableSize;


  50. #define HANDLE_TRACE_DEBUG_INFO_CLEAN_DEBUG_INFO        0x1


  53. #define HANDLE_TRACE_DEBUG_INFO_COMPACT_CLOSE_HANDLE    0x2


  56. #define HANDLE_TRACE_DEBUG_INFO_BREAK_ON_WRAP_AROUND    0x4

  58. #define HANDLE_TRACE_DEBUG_INFO_WAS_WRAPPED_AROUND      0x40000000
  59. #define HANDLE_TRACE_DEBUG_INFO_WAS_SOMETIME_CLEANED    0x80000000

  61.         ULONG BitMaskFlags;

  63.         FAST_MUTEX CloseCompactionLock;

  65.         ULONG CurrentStackIndex;

  67.         HANDLE_TRACE_DB_ENTRY TraceDb[1];

  69. } HANDLE_TRACE_DEBUG_INFO, *PHANDLE_TRACE_DEBUG_INFO;

  71. typedef struct _HANDLE_TABLE {

  73.         ULONG_PTR TableCode;

  75.         struct _EPROCESS *QuotaProcess;
  76.         HANDLE UniqueProcessId;

  78. #define HANDLE_TABLE_LOCKS 4

  80.         ULONG HandleTableLock[HANDLE_TABLE_LOCKS];
  81.         LIST_ENTRY HandleTableList;
  82.         ULONG HandleContentionEvent;
  83.         PHANDLE_TRACE_DEBUG_INFO DebugInfo;
  84.         LONG ExtraInfoPages;
  85.         ULONG FirstFree;
  86.         ULONG LastFree;
  87.         ULONG NextHandleNeedingPool;
  88.         LONG HandleCount;
  89.         union {
  90.                 ULONG Flags;
  91.                 BOOLEAN StrictFIFO : 1;
  92.         };

  94. } HANDLE_TABLE, *PHANDLE_TABLE;


  97. typedef struct _HANDLE_TABLE_ENTRY_INFO {

  99.         ACCESS_MASK AuditMask;

  101. } HANDLE_TABLE_ENTRY_INFO, *PHANDLE_TABLE_ENTRY_INFO;


  104. typedef struct _HANDLE_TABLE_ENTRY {


  107.         union {

  109.                 PVOID Object;

  111.                 ULONG ObAttributes;

  113.                 PHANDLE_TABLE_ENTRY_INFO InfoTable;

  115.                 ULONG_PTR Value;
  116.         };

  118.         union {

  120.                 union {

  122.                         ACCESS_MASK GrantedAccess;

  124.                         struct {

  126.                                 USHORT GrantedAccessIndex;
  127.                                 USHORT CreatorBackTraceIndex;
  128.                         };
  129.                 };

  131.                 LONG NextFreeTableEntry;
  132.         };

  134. } HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;

  136. typedef BOOLEAN (*EX_ENUMERATE_HANDLE_ROUTINE)(
  137.         IN PHANDLE_TABLE_ENTRY HandleTableEntry,
  138.         IN HANDLE Handle,
  139.         IN PVOID EnumParameter
  140.         );

  142. EXTERN_C NTKERNELAPI BOOLEAN ExEnumHandleTable (
  143.                                    __in PHANDLE_TABLE HandleTable,
  144.                                    __in EX_ENUMERATE_HANDLE_ROUTINE EnumHandleProcedure,
  145.                                    __in PVOID EnumParameter,
  146.                                    __out_opt PHANDLE Handle
  147.                                    );

  149. EXTERN_C NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(
  150.                                                    __in HANDLE ProcessId,
  151.                                                    __deref_out PEPROCESS *Process
  152.                                                    );


  155. typedef struct _OBJECT_CREATE_INFORMATION {
  156.         ULONG Attributes;
  157.         HANDLE RootDirectory;
  158.         PVOID ParseContext;
  159.         KPROCESSOR_MODE ProbeMode;
  160.         ULONG PagedPoolCharge;
  161.         ULONG NonPagedPoolCharge;
  162.         ULONG SecurityDescriptorCharge;
  163.         PSECURITY_DESCRIPTOR SecurityDescriptor;
  164.         PSECURITY_QUALITY_OF_SERVICE SecurityQos;
  165.         SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
  166. } OBJECT_CREATE_INFORMATION;

  168. typedef struct _OBJECT_CREATE_INFORMATION *POBJECT_CREATE_INFORMATION;;

  170. typedef struct _OBJECT_HEADER {
  171.         LONG_PTR PointerCount;
  172.         union {
  173.                 LONG_PTR HandleCount;
  174.                 PVOID NextToFree;
  175.         };
  176.         POBJECT_TYPE Type;
  177.         UCHAR NameInfoOffset;
  178.         UCHAR HandleInfoOffset;
  179.         UCHAR QuotaInfoOffset;
  180.         UCHAR Flags;

  182.         union {
  183.                 POBJECT_CREATE_INFORMATION ObjectCreateInfo;
  184.                 PVOID QuotaBlockCharged;
  185.         };

  187.         PSECURITY_DESCRIPTOR SecurityDescriptor;
  188.         QUAD Body;
  189. } OBJECT_HEADER, *POBJECT_HEADER;


  192. #define OBJECT_TO_OBJECT_HEADER( o ) \
  193.         CONTAINING_RECORD( (o), OBJECT_HEADER, Body )

  195. typedef struct _tagRETENUMHANDLE
  196. {
  197.         PUCHAR pszName;
  198.         PEPROCESS pEprocess;
  199. }RETENUMHANDLE, *PRETENUMHANDLE;
复制代码
Driver.cpp
  1. #include "Driver.h"

  3. ULONG SearchPspCidTable()
  4. {
  5.         PUCHAR p = (PUCHAR)PsLookupProcessByProcessId;
  6.         ULONG i = 0;
  7.         BOOLEAN bFind = FALSE;

  9.         while(i < 0x100)
  10.         {
  11.                 if (*p == 0xff
  12.                         && *(p + 1) == 0x35
  13.                         && *(p + 6) == 0xe8
  14.                         && *(p - 1) == 0x53)
  15.                 {
  16.                         bFind = TRUE;
  17.                         break;
  18.                 }
  19.                 i++;
  20.                 p++;
  21.         }

  23.         if (!bFind)
  24.         {
  25.                 KdPrint(("Find faile!\n"));
  26.                 return 0;
  27.         }


  30.         ULONG uFindAddr = *(PULONG)*(PULONG)(p + 2);

  32.         return uFindAddr;
  33. }

  35. BOOLEAN IsProcess(PVOID Object)
  36. {
  37.         if (Object == NULL)
  38.         {
  39.                 return FALSE;
  40.         }
  41.         if (!MmIsAddressValid(Object))
  42.         {
  43.                 return FALSE;
  44.         }

  46.         POBJECT_TYPE ObjectType = ((POBJECT_HEADER)(OBJECT_TO_OBJECT_HEADER(Object)))->Type;

  48.         if (!MmIsAddressValid(Object) || ObjectType == NULL)
  49.         {
  50.                 return FALSE;
  51.         }

  53.         if (ObjectType != *PsProcessType)
  54.         {
  55.                 return FALSE;
  56.         }

  58.         return TRUE;
  59. }

  61. BOOLEAN EnumHandleCallBack(IN PHANDLE_TABLE_ENTRY HandleTableEntry,
  62.                                                                            IN HANDLE Handle,
  63.                                                                            IN PVOID EnumParameter
  64.                                                                            )
  65. {
  66.         PRETENUMHANDLE pRetEnumHandle = (PRETENUMHANDLE)EnumParameter;
  67.         if (pRetEnumHandle == NULL || pRetEnumHandle->pszName == NULL)
  68.         {
  69.                 return TRUE;
  70.         }

  72.         PVOID Object = HandleTableEntry->Object;
  73.         if (Object == NULL)
  74.         {
  75.                 return TRUE;
  76.         }

  78.         if (IsProcess(Object))
  79.         {
  80.                 UCHAR szProcessName[16] = {0};
  81.                 memcpy(szProcessName, (PVOID)((ULONG)Object + 0x174), 16);

  83.                 if (strstr((char *)szProcessName, (char *)pRetEnumHandle->pszName) != 0)
  84.                 {
  85.                         KdPrint(("%s\n", szProcessName));
  86.                         pRetEnumHandle->pEprocess = (PEPROCESS)Object;
  87.                         return TRUE;
  88.                 }
  89.         }

  91.         return FALSE;
  92. }


  95. PEPROCESS GetEprocessByName(PUCHAR pszProcessName)
  96. {
  97.         if (pszProcessName == NULL)
  98.         {
  99.                 return NULL;
  100.         }

  102.         PHANDLE_TABLE PspCidTable = (PHANDLE_TABLE)SearchPspCidTable();
  103.         HANDLE rhandle = 0;

  105.         RETENUMHANDLE RetEnumHandle = {0};
  106.         RetEnumHandle.pszName = pszProcessName;

  108.         ExEnumHandleTable(PspCidTable, EnumHandleCallBack, &RetEnumHandle, &rhandle);

  110.         if (RetEnumHandle.pEprocess != NULL)
  111.         {
  112.                 return RetEnumHandle.pEprocess;
  113.         }

  115.         return NULL;
  116. }

  118. #pragma INITCODE
  119. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
  120. {
  121.     NTSTATUS status = STATUS_SUCCESS;


  124.         PEPROCESS pEprocess = GetEprocessByName((PUCHAR)"csrss.exe");
  125.         KdPrint(("%x\n", pEprocess));

  127.     DriverObject->DriverUnload = DriverUnload;
  128.     return status;
  129. }

  131. #pragma PAGEDCODE
  132. VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
  133. {
  134.   
  135.     KdPrint(("DriverEntry unLoading...\n"));
  136.   
  137. }
复制代码
收藏 分享

返回列表