PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER) 3.PspCidTable是一个独立的句柄表,而每个进程私有的句柄表以一个双链连接起来 注意访问对象时要掩掉低三位,每个进程私有的句柄表是双链连接起来的,实际上ZwQuerySystemInformation枚举系统句柄时就是走的这条双链,隐藏进程的话,这条链也是要断掉的~~ PspCidTable相关的调用: 1.系统初始化时调用PspInitPhase0()初始化进程管理子系统,此时创建PspCidTable
复制代码 PspCidTable = ExCreateHandleTable (NULL); //创建! if (PspCidTable == NULL) { return FALSE; } // // Set PID and TID reuse to strict FIFO. This isn’t absolutely needed but // it makes tracking audits easier. // ExSetHandleTableStrictFIFO (PspCidTable); ExRemoveHandleTable (PspCidTable); //使得PspCidTable独立于其它句柄表 复制代码 2.进程创建时,PspCreateProcess()在PspCidTable中以进程对象创建句柄,是为PID
复制代码 // // Create the process ID // CidEntry.Object = Process; CidEntry.GrantedAccess = 0; Process->UniqueProcessId = ExCreateHandle (PspCidTable, &CidEntry); //进程的PID是这么来的 if (Process->UniqueProcessId == NULL) { Status = STATUS_INSUFFICIENT_RESOURCES; goto exit_and_deref; } 复制代码 3.线程创建时,PspCreateThread()在PspCidTable中以线程对象创建句柄,是为TID
复制代码 Thread->ThreadsProcess = Process; Thread->Cid.UniqueProcess = Process->UniqueProcessId; CidEntry.Object = Thread; CidEntry.GrantedAccess = 0; Thread->Cid.UniqueThread = ExCreateHandle (PspCidTable, &CidEntry); //线程的TID if (Thread->Cid.UniqueThread == NULL) { ObDereferenceObject (Thread); return (STATUS_INSUFFICIENT_RESOURCES); } 复制代码
这儿可以清楚地知道:PID和TID分别是EPROCESS和ETHREAD对象在PspCidTable这个句柄表中的索引 4.进程和线程的查询,主要是以下三个函数,按照给定的PID或TID从PspCidTable从查找相应的进线程对象 PsLookupProcessThreadByCid() PsLookupProcessByProcessId() PsLookupThreadByThreadId() 其中有如下调用: CidEntry = ExMapHandleToPointer(PspCidTable, ProcessId); CidEntry = ExMapHandleToPointer(PspCidTable, ThreadId);
ExMapHandleToPointer内部仍然是调用ExpLookupHandleTableEntry()根据指定的句柄查找相应的HANDLE_TABEL_ENTRY, 从而获取Object 5.线程退出时,PspThreadDelete()在PspCidTable中销毁句柄
if (Thread->Cid.UniqueThread != NULL) { if (!ExDestroyHandle (PspCidTable, Thread->Cid.UniqueThread, NULL)) { KeBugCheck(CID_HANDLE_DELETION); } }
6.进程退出时,PspProcessDelete()在PspCidTable中销毁句柄
if (Process->UniqueProcessId) { if (!(ExDestroyHandle (PspCidTable, Process->UniqueProcessId, NULL))) { KeBugCheck (CID_HANDLE_DELETION); } } 这里要注意,如果进线程退出时,销毁句柄却发现句柄不存在造成ExDestroyHandle返回失败,可是要蓝屏滴~
所以抹了PspCidTable来隐藏的进程,在退出时必须把进线程对象再放回去,欲知后事如何,请看下回分解~~
