[求助]通过EPROCESS枚举进程-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼 (PULONG)i == 0x7ffdf000 以上代码判断一个进程的关键是在这里，即只有当进程的PEB结构指针是0x7ffdf000你才能找到它。但是在XP SP2系统下，进程PEB结构位置是不定的，并不固定为0x7ffdf000。你可以自己在windbg里试一试看看系统当前所有进程的PEB就会发现这个问题了。如在我的XP SP3下，我刚刚试了一下： lkd> !process 0 0 * NT ACTIVE PROCESS DUMP ** PROCESS 855b6830 SessionId: none Cid: 0004 Peb: 00000000 ParentCid: 0000 DirBase: 05990020 ObjectTable: e1003df8 HandleCount: 437. Image: System PROCESS 84c4d020 SessionId: none Cid: 046c Peb: 7ffde000 ParentCid: 0004 DirBase: 05990040 ObjectTable: e100dc10 HandleCount: 19. Image: smss.exe PROCESS 84bfb020 SessionId: 0 Cid: 04b0 Peb: 7ffd8000 ParentCid: 046c DirBase: 05990060 ObjectTable: e188da08 HandleCount: 702. Image: csrss.exe PROCESS 84bf2a90 SessionId: 0 Cid: 04cc Peb: 7ffde000 ParentCid: 046c DirBase: 05990080 ObjectTable: e188f170 HandleCount: 526. Image: winlogon.exe PROCESS 84b2bc10 SessionId: 0 Cid: 04f8 Peb: 7ffd4000 ParentCid: 04cc DirBase: 059900a0 ObjectTable: e1d60518 HandleCount: 310. Image: SERVICES.EXE PROCESS 84b363c0 SessionId: 0 Cid: 0504 Peb: 7ffdd000 ParentCid: 04cc DirBase: 059900c0 ObjectTable: e223c248 HandleCount: 477. Image: LSASS.EXE PROCESS 84b5eda0 SessionId: 0 Cid: 05c0 Peb: 7ffda000 ParentCid: 04f8 DirBase: 059900e0 ObjectTable: e236af00 HandleCount: 99. Image: Ati2evxx.exe PROCESS 84b59b28 SessionId: 0 Cid: 05e0 Peb: 7ffd7000 ParentCid: 04f8 DirBase: 05990100 ObjectTable: e23686c8 HandleCount: 196. Image: SVCHOST.EXE PROCESS 846313b0 SessionId: 0 Cid: 063c Peb: 7ffd5000 ParentCid: 04f8 DirBase: 05990140 ObjectTable: e19a3c08 HandleCount: 317. Image: SVCHOST.EXE （以下省略类似的条目）你可以看到它们的PEB并不都是0x7ffdf000，这也就解释了你只能搜到一部分进程结构。好像哪本书上说的XP SP2开始PEB结构位置才是不定的，在此之前好像就是固定为0x7ffdf000的，不知道我有没有记错。 2009-2-22 17:30 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼 xfocus的一篇文章《Windows XP Sp2溢出保护》中就提到了PEB的地址的随机，详见4b2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2X3L8$3y4#2M7#2)9J5k6h3&6W2N6q4)9J5c8X3q4J5N6r3W2U0L8r3g2K6i4K6u0r3x3U0l9H3y4o6p5J5i4K6u0r3y4K6j5J5i4K6u0W2K9s2c8E0L8l9`.`. 2009-2-22 17:41 0
eepo 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	eepo 4 楼非常感谢 2009-2-22 18:19 0
eepo 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	eepo 5 楼这里还有一个问题我把程序修改了一下如下 VOID searchprocess(void) { ULONG i; ULONG res; for (i = 0x80000000; i < 0x90000000; i += 4) { res = validpage(i); if (res == VALID) { DbgPrint("%x : %x\n", i, (PULONG)i); //if ((PULONG)i == 0x7ffdf000) if ((PUCHAR)(i+0) == 0x00 && (PUCHAR)(i+2) == 0xfd && (PUCHAR)(i+3) == 0x7f && ((PUCHAR)(i+1) & 0x0f) == 0) { if(IsARealProcess(i)) { DbgPrint("EPROCESS: 0x%x ",i-PEB_OFFSET); getname(i); } } } else if(res == PTE_INVALID) { DbgPrint("%x pte_invalid.\n", i); i -= 4; i += 0x1000;//4k } else { DbgPrint("%x pde_invalid.\n", i); i -= 4; i += 0x400000;//4mb } } for (i = 0xf0000000; i < 0xffbe0000; i += 4) { res = validpage(i); if (res == VALID) { //if ((PULONG)i == 0x7ffdf000) if ((PUCHAR)(i+0) == 0x00 && (PUCHAR)(i+2) == 0xfd && (PUCHAR)(i+3) == 0x7f && (*(PUCHAR)(i+1) & 0x0f) == 0) { if(IsARealProcess(i)) { DbgPrint("EPROCESS: 0x%x ",i-PEB_OFFSET); getname(i); } } } else if(res == PTE_INVALID) { i -= 4; i += 0x1000;//4k } else { i -= 4; i += 0x400000;//4mb } } DbgPrint("searching finish \n"); } 在xp sp2的虚拟机中成功的搜索出系统里的进程可是在我的主机上却没有成功从80000000到90000000全部显示pde_invalid 这是怎么回事？ 2009-2-23 18:51 0
eepo 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	eepo 6 楼顶起 ~ 期待解答 2009-2-24 11:05 0
eepo 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	eepo 7 楼调了很久从80000000到90000000还是都显示pde_invalid 为什么呢？ 2009-2-24 13:24 0
tmdwoaini 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	tmdwoaini 8 楼 windows xp sp2 的页目录是0xc0600000 而且是PAE(物理地址扩展)模式计算方法有些不同的 2000的具体请反汇编xp sp2 的涵数MmIsAddressValid() 就比较清楚 2009-2-24 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

轩辕小聪

雪币： 722

活跃值： (123)

能力值：

( LV12，RANK：300 )

在线值：

发帖

10

回帖

547

粉丝

5

关注

私信

轩辕小聪 7: 2 楼

*(PULONG)i == 0x7ffdf000
以上代码判断一个进程的关键是在这里，即只有当进程的PEB结构指针是0x7ffdf000你才能找到它。

但是在XP SP2系统下，进程PEB结构位置是不定的，并不固定为0x7ffdf000。

你可以自己在windbg里试一试看看系统当前所有进程的PEB就会发现这个问题了。
如在我的XP SP3下，我刚刚试了一下：

lkd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 855b6830  SessionId: none  Cid: 0004 Peb: 00000000  ParentCid: 0000
DirBase: 05990020  ObjectTable: e1003df8  HandleCount: 437.
Image: System

PROCESS 84c4d020  SessionId: none  Cid: 046c Peb: 7ffde000  ParentCid: 0004
DirBase: 05990040  ObjectTable: e100dc10  HandleCount:  19.
Image: smss.exe

PROCESS 84bfb020  SessionId: 0  Cid: 04b0 Peb: 7ffd8000  ParentCid: 046c
DirBase: 05990060  ObjectTable: e188da08  HandleCount: 702.
Image: csrss.exe

PROCESS 84bf2a90  SessionId: 0  Cid: 04cc Peb: 7ffde000  ParentCid: 046c
DirBase: 05990080  ObjectTable: e188f170  HandleCount: 526.
Image: winlogon.exe

PROCESS 84b2bc10  SessionId: 0  Cid: 04f8 Peb: 7ffd4000  ParentCid: 04cc
DirBase: 059900a0  ObjectTable: e1d60518  HandleCount: 310.
Image: SERVICES.EXE

PROCESS 84b363c0  SessionId: 0  Cid: 0504 Peb: 7ffdd000  ParentCid: 04cc
DirBase: 059900c0  ObjectTable: e223c248  HandleCount: 477.
Image: LSASS.EXE

PROCESS 84b5eda0  SessionId: 0  Cid: 05c0 Peb: 7ffda000  ParentCid: 04f8
DirBase: 059900e0  ObjectTable: e236af00  HandleCount:  99.
Image: Ati2evxx.exe

PROCESS 84b59b28  SessionId: 0  Cid: 05e0 Peb: 7ffd7000  ParentCid: 04f8
DirBase: 05990100  ObjectTable: e23686c8  HandleCount: 196.
Image: SVCHOST.EXE

PROCESS 846313b0  SessionId: 0  Cid: 063c Peb: 7ffd5000  ParentCid: 04f8
DirBase: 05990140  ObjectTable: e19a3c08  HandleCount: 317.
Image: SVCHOST.EXE
（以下省略类似的条目）

你可以看到它们的PEB并不都是0x7ffdf000，这也就解释了你只能搜到一部分进程结构。

好像哪本书上说的XP SP2开始PEB结构位置才是不定的，在此之前好像就是固定为0x7ffdf000的，不知道我有没有记错。

2009-2-22 17:30

0

轩辕小聪

雪币： 722

活跃值： (123)

能力值：

( LV12，RANK：300 )

在线值：

发帖

10

回帖

547

粉丝

5

关注

私信

轩辕小聪 7: 3 楼

xfocus的一篇文章《Windows XP Sp2溢出保护》中就提到了PEB的地址的随机，详见4b2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2X3L8$3y4#2M7#2)9J5k6h3&6W2N6q4)9J5c8X3q4J5N6r3W2U0L8r3g2K6i4K6u0r3x3U0l9H3y4o6p5J5i4K6u0r3y4K6j5J5i4K6u0W2K9s2c8E0L8l9`.`.

2009-2-22 17:41

0

eepo

雪币： 222

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

18

回帖

73

粉丝

0

关注

私信

eepo: 4 楼

非常感谢

2009-2-22 18:19

0

eepo

雪币： 222

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

18

回帖

73

粉丝

0

关注

私信

eepo: 5 楼

这里还有一个问题
我把程序修改了一下如下

VOID searchprocess(void)
{
    ULONG    i;
    ULONG    res;
    
    for (i = 0x80000000; i < 0x90000000; i += 4)
	{
        res = validpage(i);
        if (res == VALID)
		{
			DbgPrint("%x : %x\n", i, *(PULONG)i);
            //if (*(PULONG)i == 0x7ffdf000)
			if (*(PUCHAR)(i+0) == 0x00 &&
				*(PUCHAR)(i+2) == 0xfd &&
				*(PUCHAR)(i+3) == 0x7f &&
				(*(PUCHAR)(i+1) & 0x0f) == 0)
			{
                if(IsARealProcess(i))
				{
                    DbgPrint("EPROCESS: 0x%x  ",i-PEB_OFFSET);
                    getname(i);
                }
            }
        }
        else if(res == PTE_INVALID)
		{
			DbgPrint("%x  pte_invalid.\n", i);
            i -= 4;
            i += 0x1000;//4k
        }
        else
		{
			DbgPrint("%x pde_invalid.\n", i);
            i -= 4;
            i += 0x400000;//4mb
        }
        
    }

    for (i = 0xf0000000; i < 0xffbe0000; i += 4)
	{
        res = validpage(i);
        if (res == VALID)
		{
            //if (*(PULONG)i == 0x7ffdf000)
			if (*(PUCHAR)(i+0) == 0x00 &&
				*(PUCHAR)(i+2) == 0xfd &&
				*(PUCHAR)(i+3) == 0x7f &&
				(*(PUCHAR)(i+1) & 0x0f) == 0)
			{
                if(IsARealProcess(i))
				{
                    DbgPrint("EPROCESS: 0x%x  ",i-PEB_OFFSET);
                    getname(i);
                }
            }
        }
        else if(res == PTE_INVALID)
		{
            i -= 4;
            i += 0x1000;//4k
        }
        else
		{
            i -= 4;
            i += 0x400000;//4mb
        }        
    }

    DbgPrint("searching finish \n");
}

在xp sp2的虚拟机中成功的搜索出系统里的进程
可是在我的主机上却没有成功
从80000000到90000000全部显示pde_invalid
这是怎么回事？

2009-2-23 18:51

0