2. 程式人生 > >【舊文章搬運】CsrssWalker學習筆記

【舊文章搬運】CsrssWalker學習筆記

阿新 發佈:2018-12-26
RoCE 需要 ren 接收 構建 ted struct expected com

原文發表於百度空間及看雪論壇,2009-05-13

看雪論壇地址:https://bbs.pediy.com/thread-89708.htm
==========================================================================

最近很忙,也很懶,發點以前寫的東西吧~
學習了一下古老的CsrssWalker,寫點筆記~~
在Csrss.exe中,保存著所有Win32子系統進程的進程信息,這些信息以鏈表的形式保存。
正常情況下,每一個新創建的進程都會通知Csrss.exe,Csrss.exe接收這些信息然後保存起來,所以遍歷這個鏈表就可以得到所有Win32子系統進程的信息。首先就是找鏈表頭了,鏈表頭為CsrssRootProcess,在CSRSRV.DLL導出的函數中有對CsrssRootProcess的操作,因此可以通過CSRSRV.DLL的導出函數找到CsrssRootProcess。

比較方便一點的,是從CsrLockProcessByClientId中找到CsrssRootProcess.

mov      edx, [ebp+arg_4]
and      dword ptr [edx], 0
mov      esi, dword_75AA891C ; Base=75AA0000
add      esi, 8
mov      [ebp+arg_4], 0C0000001h

75AA891C處就是CsrssRootProcess的指針了,這個指針的值可以通過特征匹配找到,具體請參考代碼。讀取其內容,得到CsrssRootProcess=0x001629C0(這個只是我的系統上的)

從這裏讀就可以得到CsrssRootProcess的內容了,然後遍歷Link即可
涉及以的一些數據結構在CsrssStruct.h中。
進程信息的結構如下:

typedef struct _CSR_PROCESS
{
     CLIENT_ID ClientId; //這裏可以得到進程PID和主線程TID
     LIST_ENTRY ListLink; //就是這個鏈表
      LIST_ENTRY ThreadList;
     struct _CSR_PROCESS *Parent;
     PCSR_NT_SESSION NtSession;
    ULONG ExpectedVersion;
    HANDLE ClientPort;
    ULONG_PTR ClientViewBase;
    ULONG_PTR ClientViewBounds;
    HANDLE ProcessHandle;
    ULONG SequenceNumber;
    ULONG Flags;
    ULONG DebugFlags;
     CLIENT_ID DebugCid;
    ULONG ReferenceCount;
    ULONG ProcessGroupId;
    ULONG ProcessGroupSequence;
    ULONG fVDM;
    ULONG ThreadCount;
    ULONG PriorityClass;
    ULONG Reserved;
    ULONG ShutdownLevel;
    ULONG ShutdownFlags;
    PVOID ServerData[];
} CSR_PROCESS, 
 
*PCSR_PROCESS;

但是因為這不是在當前進程中,所以每次都要先讀取出來,遍歷時與普通的遍歷雙鏈表操作稍有差別,但是也很容易實現。

具體的步驟為:
1.找到Csrss.exe進程(這個很簡單,Vista要註意有不止一個Csrss進程)
2.遍歷Csrss.exe中的模塊列表,找到CSRSRV.DLL的基址。
3.在CSRSRV.DLL中根據導出函數CsrLockProcessByClientId找CsrssRootProcess指針
4.構建當前進程名稱列表,為輸出作準備
5.根據CsrssRootProcess指針的地址,從Csrss.exe進程中讀取和遍歷每個進程的信息並輸出

在Csrss.exe中同樣還保存著所有Win32線程的信息,由於線程數目較多,Csrss中采用Hash表的形式來保存線程信息。同樣從CSRSRV.DLL的導出函數CsrLockThreadByClientId可以得到CsrThreadHashTable的地址,這是一個Hash表,定義為:

LIST_ENTRY CsrThreadHashTable[256];

Hash算法為:

#define CsrHashThread(t) \
    (HandleToUlong(t)&(256 - 1))

很簡單的算法,查找CsrThreadHashTable的方法及遍歷方法與前面遍歷CsrssRootProcessLink基本相同,不多說。這部分我並未在代碼中實現,有興趣的自己寫一寫吧,很簡單。
對於Vista等較新的系統,由於Session隔離,系統中會有不止一個Csrss進程,這樣就需要對這幾個Csrss進程都進行處理。就說這麽多了,具體地看代碼~~
代碼下載地址:

看雪:https://bbs.pediy.com/thread-89708.htm

【舊文章搬運】CsrssWalker學習筆記

相關推薦

文章搬運CsrssWalker學習筆記

RoCE 需要 ren 接收 構建 ted struct expected com 原文發表於百度空間及看雪論壇,2009-05-13 看雪論壇地址:https://bbs.pediy.com/thread-89708.htm=======================

文章搬運Windows核心常見資料結構(程序相關)

原文發表於百度空間,2008-7-24========================================================================== 程序的相關結構非常重要,重點學習~有一些內容參考自:http://dev.csdn.net/article/20/202

文章搬運Windows核心常見資料結構(驅動相關)

原文發表於百度空間,2008-7-24========================================================================== 這些是驅動中相關的資料結構. 驅動物件,由I/O管理器建立,用於管理裝置(Device):lkd> dt _DR

文章搬運獲取並修改PEB中的映像路徑,命令列和當前目錄

原文發表於百度空間,2008-7-24 當時對UNICODE_STRING的使用還有點問題,導致最終效果圖中字串被截斷了========================================================================== 先從分析PEB開始吧.感覺分析這個東

文章搬運Windows核心常見資料結構(執行緒相關)

原文發表於百度空間,2008-7-24========================================================================== 執行緒是程序的實際存在,每個程序中至少會有一個執行緒.執行緒相關的資料結構比較多,一個一個看.首先是ETHREAD:lk

文章搬運暴力的查程序方法

原文發表於百度空間,2008-7-25========================================================================== 忘了在哪兒看到的了,就是讓pid從1開始使用OpenProcess來開啟程序,然後根據得到的控制代碼獲取程序名稱.絕對的

文章搬運遍歷EPROCESS中的ActiveProcessLinks列舉程序

原文發表於百度空間,2008-7-25========================================================================== 前面對PEB的相關結構和其中的重要成員進行了分析和學習,現在開始真正進入核心,學習核心中的一些結構.這個EPROCESS

文章搬運修改PEB,斷鏈隱藏模組成功

原文發表於百度空間,2008-7-26========================================================================== 繼續實踐之前的想法,就是斷掉如下這個結構中的雙向連結串列: typedef struct _LDR_MODULE

文章搬運ZwQuerySystemInformation列舉進執行緒資訊

原文發表於百度空間,2008-10-15========================================================================== 很古老的東西了,寫一寫,權當練手吧.本來以為沒什麼難度,很科普很傻瓜的東西,但是寫的時候還是遇到一些問題,程序資訊正確

文章搬運ZwQuerySystemInformation枚舉內核模塊及簡單應用

接下來 smo and obj 基址 add dwr 調用 mit 原文發表於百度空間,2008-10-24========================================================================== 簡單說,即調用

文章搬運爐子給的SYSTEM_HANDLE_TYPE有點錯誤

原文發表於百度空間,2008-12-03========================================================================== 今天寫程式,用ZwQuerySystemInformation列舉系統中的檔案控制代碼時出了問題,死活一個都找不到,可

文章搬運Windbg+Vmware驅動除錯入門(一)--Windbg的設定

原文發表於百度空間,2009-01-08========================================================================== Windbg+Vmware驅動除錯入門,寫給wakaka小童鞋,很強大的小童鞋,同時也做為自己的存檔~~ Windb

文章搬運Windbg+Vmware驅動除錯入門(三)---Windbg基本除錯入門

原文發表於百度空間,2009-01-09========================================================================== 這一節的內容是Windbg入門,用一些基本的命令告訴你如何使用Windbg~~僅作入門,更詳細的可以參考Raymond

文章搬運Windbg+Vmware驅動除錯入門(二)---Vmware及GuestOS的設定

原文發表於百度空間,2009-01-08========================================================================== 這一篇是主要是關於Vmware部分的設定,其實參考JIURL那篇很經典的《藉助VMware實現單機使用WinDbg》就

文章搬運Windbg+Vmware驅動除錯入門(四)---VirtualKD核心除錯加速工具

原文發表於百度空間,2009-01-09========================================================================== 今天又想起來VirtualKD這個東西,試用了一下,真是爽壞了,可能我火星了~~ 很久以前就知道小喂有個VmKd工具

文章搬運PspCidTable概述

原文發表於百度空間,2009-03-28========================================================================== PspCidTable也是一個控制代碼表,其格式與普通的控制代碼表是完全一樣的.但它與每個程序私有的控制代碼表有以下不

文章搬運Windows控制代碼表分配演算法分析(三)

原文發表於百度空間,2009-03-30========================================================================== 三、當需要申請一個新的二級表(MidLevelTable)時,呼叫ExpAllocateMidLevelTable函式

文章搬運Windows控制代碼表分配演算法分析(實驗部分)

原文發表於百度空間,2009-03-31========================================================================== 理論結合實踐,這是我一貫的學習方法~~實驗目的:以實驗的方式觀察PspCidTable的變化,從中瞭解Windows控

文章搬運除錯沒有符號的驅動時如何斷在入口點處

原文發表於百度空間,2009-04-17========================================================================== 關於除錯沒有符號的驅動時如何斷在入口點處這個問題,先說一個我聽來的很挫的方法:用C32ASM修改DriverEntry

文章搬運Idle進程相關的一些東西

表頭 arr ffd 共享 如何 initials pro == ogre 原文發表於百度空間,2009-05-13========================================================================== Idl