一种基于PspCidTable的进程检测方法.pdfVIP

适合读者：编程爱好者 前置知识：VC 、汇编 一种基于PspCidTable 的进程检测方法 文/ 图 武汉大学计算机学院信息安全专业 段俊锋 本文介绍了Windows XP 下PspCidTable 的组织结构和基于该结构的一种进程检测方法。 PspCidTable 组织结构简介 在Windows NT 下，所有的资源都是以对象（object ）的方式进行管理。我们平时最常见的进程（process ）、 文件（file ）、设备（device ）等都是对象。当我们要访问一个对象时，比如说打开一个文件，系统就会创建 一个对象句柄，通过这个句柄来完成对文件的打开、关闭、删除等操作。句柄和对象之间的联系是通过句 柄表来完成的。准确地说，一个句柄是它所对应的对象在句柄表中的索引。通过句柄，可以在句柄表找到 对象的指针，通过指针对对象进行操作。PspCidTable 是Windows 系统中一种特殊的句柄表，它不链接在系 统句柄表上，也不属于任何一个进程。通过它可以访问系统中所有的对象。在 Windbg 下面可以查看 PspCidTable 的地址： kd dd PspCidTable 8055a360 e100086000000000 8055a3700000000000000000 看得出来，这个系统里PspCidTable 的地址为0x8055a360 （不同的系统中，这个值是不同的）。这个地 线 址中是一个指向_HANDLE_TABLE 结构的指针： kd dt _HANDLE_TABLE e1000860 防 ntdll!_HANDLE_TABLE +0x000 TableCode : 0xe1003000 „„ 客 +0x038 NextHandleNeedingPool : 0x800 „„ 黑 +0x040 StrictFIFO : 0y1 这里的TableCode 中记录着句柄表的地址。在Windows 2000 中PspCidTable 句柄表采用的是三层表结 构，TableCode 中记录着三层表——上层表、中层表和下层表的地址。但是在Windows XP 中，为了节省系 统空间，采用了动态扩展的表结构，当句柄数目少的时候仅仅采用下层表，当句柄数目较大的时候系统才 会启用中层表，直至上层表。那么怎么判断系统使用了几层表呢？TableCode 的后两位是判断的依据，后两 位是00 则是一层表结构，后两位是01 则是两层表结构，后两位是10 则是三层表结构。如果系统采用了两 层或者三层表的话，TableCode 中就不是句柄表地址了，把这个值最后两位置0 之后，则是一个指向多层表 地址的指针。下面看看另外一个Windows XP 系统下的对应的_HANDLE_TABLE 。 lkd dt _HANDLE_TABLE e1001820 nt!_HANDLE_TABLE +0x000 TableCode : 0xe27ef001 „„ +0x038 NextHandleNeedingPool : 0x1000 „„ +0x040 StrictFIFO : 0y1 lkd dd 0xe27ef000 e27ef000 e1003000 e27f500000000000 e27ef0100000000000000000 看得出来，这个系统采用了两层表结构。下层表地址为0xe1003000，中层表地址为0xe27f5000 。这其 中有一个差别，一般采用一层表结构时，偏移0x038 处的NextHandleNeedingPool 是0x800，采用两层表结 构时为0x1000 （增加了0x800 ），相应的，采用三层表时为0x1800 。 获得了三层句柄表之后，我们就可以通过句柄来访问对象了。具体方法是，如果句柄值小于 0x800 则 将句柄值乘以 2 作为下层表中的偏移与下层表基地址相加就可以获得 一个类型为 _HANDLE_TABLE_ENTRY 的地址了，该结构中偏移00 处为Object，将这个值最高位置1，最低三位置0 就是一个对象（体