原文发表于百度空间及看雪论坛,2009-02-27

看雪论坛地址:https://bbs.pediy.com/thread-82919.htm
==========================================================================

PspCidTable现在已经很科普了,关于其具体格式及如何枚举,网上相关文章一大堆,最多的两篇是gz1x和sudami写的。我这里只谈一个问题,就是枚举PspCidTable时cid的上限问题。很多人提到以一个Magic Number为上限,其值为0x4e1c,比如sudami的《PspCidTable杂谈》。虽然大多数时候这个上限已经大到足够用了,但事实上这个上限值是不可靠的,附张图,这个极BT的pid把我雷到了...


看到这张图后,我自己也写个了程序来验证了一下,更证实了0x4e1c这个值的不可靠。
程序如下:

///////////////////////代码开始////////////////////

#include "stdafx.h"

#include <windows.h>

#include <stdio.h>

DWORD WINAPI ThreadProc(LPVOID lpParameter );

HANDLE hEvent=NULL;

int main(int argc, char* argv[])

{

int i=;

DWORD tid=;

hEvent=CreateEvent(NULL,FALSE,TRUE,"TEST");

for (i=;i<;i++)

{

   CreateThread(NULL,,ThreadProc,NULL,NULL,&tid);

   printf("Runing %d...TID=%d\n",i,tid);

   Sleep();

}

while ()

{

   Sleep();

}

return ;

}

DWORD WINAPI ThreadProc(LPVOID lpParameter )

{

WaitForSingleObject(hEvent,INFINITE);

return ;

}

///////////////////////代码开始////////////////////

虽然ProcessId和ThreadId同样在PspCidTable占位,但是创建线程的开销明显要小于创建进程,因此这里创建2000个线程,而且这个线程里等待一个无信号的事件而进入挂起状态,运行开销也要小得多。(当然也可以直接在创建时就挂起)运行这个程序,可以直接从返回的ThreadId明显感觉到PspCidTable的膨胀。在我把这个程序运行了四次之后,就可以看到pid=25508=0x63A4(此时其线程的tid更大),再运行Windbg可看到其pid=33736=0x83C8,很BT~

很明显了,0x4e1c这个不知道哪儿来的数(貌似是BlackLight提出的)并不可靠,正确的方法呢?
正确方法就是以PspCidTable的NextHandleNeedingPool为上限。
来看一下当前的PspCidTable:

lkd> dd pspcidtable L1

805695e0 e1001a00

lkd> dt _HANDLE_TABLE e1001a00

nt!_HANDLE_TABLE

   +0x000 TableCode        : 0xe12e4001

   +0x004 QuotaProcess     : (null)

   +0x008 UniqueProcessId : (null)

   +0x00c HandleTableLock : [] _EX_PUSH_LOCK

   +0x01c HandleTableList : _LIST_ENTRY [ 0xe1001a1c - 0xe1001a1c ]

   +0x024 HandleContentionEvent : _EX_PUSH_LOCK

   +0x028 DebugInfo        : (null)

   +0x02c ExtraInfoPages   :

   +0x030 FirstFree        : 0x86d0

   +0x034 LastFree         : 0x86bc

   +0x038 NextHandleNeedingPool : 0x8800

   +0x03c HandleCount      :

   +0x040 Flags            :

   +0x040 StrictFIFO       : 0y1

可以看到NextHandleNeedingPool值为0x8800=34816,这对当前情况来说是个很合理的值。其实由Windows分配句柄表的原理可知,0x8800才是当前句柄表(PspCidTable)的句柄上限,仅当当前Pool已满,不能放下更多对象时,才会再次分配一个一级表,而NextHandleNeedingPool也将增大到0x9000,步长为一个一级表的句柄大小0x800.

在枚举PspCidTable时就不再用0x4e1c的另一个理由是(当然,前面那张图已经很有说服力了,哈哈):系统自己在枚举句柄表时使用的ExEnumHandleTable函数仍然是调用了ExpLookupHandleTableEntry来实现的。而ExpLookupHandleTableEntry的开头是这样写的:

////////////省略无关代码//////////

MaxHandle = *(volatile ULONG *) &HandleTable->NextHandleNeedingPool;

    //

    // See if this can be a valid handle given the table levels.

    //

    if (Handle.Value >= MaxHandle) {

        return NULL;

    }

////////////省略无关代码//////////

看到了吗?系统也是以NextHandleNeedingPool的值作为当前句柄表中的句柄上限,即使你用0x4e1c来暴力枚举,在超出NextHandleNeedingPool之后也得不到哪怕一个有效的进线程对象。不用多说什么了,以后我们要忘掉0x4e1c,使用NextHandleNeedingPool作为枚举时正确的句柄上限值。

【旧文章搬运】更正一个枚举PspCidTable时的错误的更多相关文章

  1. 【旧文章搬运】ZwQuerySystemInformation枚举内核模块及简单应用

    原文发表于百度空间,2008-10-24========================================================================== 简单说,即 ...

  2. 【旧文章搬运】ZwQuerySystemInformation枚举进线程信息

    原文发表于百度空间,2008-10-15========================================================================== 很古老的东 ...

  3. 【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误

    原文发表于百度空间,2008-12-03========================================================================== 今天写程序 ...

  4. 【旧文章搬运】关于windbg搜索符号文件的一点说明

    原文发表于百度空间,2010-09-07========================================================================== 本来只是打 ...

  5. 【旧文章搬运】分析了一下360安全卫士的HOOK(二)——架构与实现

    原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被 ...

  6. 【旧文章搬运】PspCidTable概述

    原文发表于百度空间,2009-03-28========================================================================== PspCi ...

  7. 【旧文章搬运】PspCidTable攻与防

    原文发表于百度空间,2009-03-29========================================================================== PspCi ...

  8. 【旧文章搬运】加载PE文件时IAT的填充时机

    原文发表于百度空间,2011-06-20========================================================================== 大致过程如 ...

  9. 【旧文章搬运】如何从EPROCESS辨别一个进程是否已退出

    原文发表于百度空间,2008-7-31========================================================================== 前面已经通过 ...

随机推荐

  1. LeetCode第一题以及时间复杂度的计算

    问题描述:给定一组指定整数数组,找出数组中加和等于特定数的两个数. 函数(方法)twoSum返回这两个数的索引,index1必须小于index2. 另外:你可以假设一个数组只有一组解. 一个栗子: I ...

  2. ssh 卡主

    偶尔会遇到这样的现象 ssh 登录一台远程机器,显示下面的信息然后hang在那 Connecting to 192.168.137.102:22... Connection established. ...

  3. C语言知识结构之二

    C语言的知识结构整理成思维导图,例如以下图所看到的: 这张图的总体思路是: 用C敲代码.该学会什么? 要用C写的更好,改学会什么? 事实上.仅仅要是分层的知识结构,大致的思路是: 首先,研究本层的知识 ...

  4. HDU 2825 Wireless Password (AC自己主动机,DP)

    pid=2825">http://acm.hdu.edu.cn/showproblem.php? pid=2825 Wireless Password Time Limit: 2000 ...

  5. CellularAutomation(细胞自己主动机)

    CellularAutomation(细胞自己主动机) 细胞自己主动机(英语:Cellular automaton).又称格状自己主动机.元胞自己主动机,是一种离散模型,在可算性理论.数学及理论生物学 ...

  6. HDU 3342 Legal or Not (最短路 拓扑排序?)

    Legal or Not Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)Tota ...

  7. iOS--判断字符串NSString中数字、中文、大小写英文

    iOS--判断字符串NSString中数字.中文.大小写英文   <iframe id="iframeu2051914_0" src="http://pos.bai ...

  8. snip_opencv环境配置和测试程序

    opencv2.4.9环境变量配置的记录. 2014年8月10日 Microsoft Windows XP [版本 5.1.2600](C) 版权所有 1985-2001 Microsoft Corp ...

  9. backtrace、backtrace_symbols、backtrace_symbols_fd-support for application self-debugging

    backtrace是库函数引入的应用自调试函数. 系列里的三个函数可以缓冲或输出栈帧. #include <execinfo.h> int backtrace(void **buffer, ...

  10. 怎样搭建svn本地server,管理本地的代码

    搭建svn本地server,以下是详细的步骤介绍. 一.准备工作 1.下载svnserver端:Subversion. 到官方站点(http://s version.tigris.org/)下载最新的 ...