原文发表于百度空间及看雪论坛,2009-05-13

看雪论坛地址:https://bbs.pediy.com/thread-89708.htm
==========================================================================

最近很忙,也很懒,发点以前写的东西吧~
学习了一下古老的CsrssWalker,写点笔记~~
在Csrss.exe中,保存着所有Win32子系统进程的进程信息,这些信息以链表的形式保存。
正常情况下,每一个新创建的进程都会通知Csrss.exe,Csrss.exe接收这些信息然后保存起来,所以遍历这个链表就可以得到所有Win32子系统进程的信息。首先就是找链表头了,链表头为CsrssRootProcess,在CSRSRV.DLL导出的函数中有对CsrssRootProcess的操作,因此可以通过CSRSRV.DLL的导出函数找到CsrssRootProcess。
比较方便一点的,是从CsrLockProcessByClientId中找到CsrssRootProcess.

mov      edx, [ebp+arg_4]

and      dword ptr [edx],

mov      esi, dword_75AA891C ; Base=75AA0000

add      esi,

mov      [ebp+arg_4], 0C0000001h

75AA891C处就是CsrssRootProcess的指针了,这个指针的值可以通过特征匹配找到,具体请参考代码。读取其内容,得到CsrssRootProcess=0x001629C0(这个只是我的系统上的)

从这里读就可以得到CsrssRootProcess的内容了,然后遍历Link即可
涉及以的一些数据结构在CsrssStruct.h中。
进程信息的结构如下:

typedef struct _CSR_PROCESS

{

     CLIENT_ID ClientId; //这里可以得到进程PID和主线程TID

     LIST_ENTRY ListLink; //就是这个链表

      LIST_ENTRY ThreadList;

     struct _CSR_PROCESS *Parent;

     PCSR_NT_SESSION NtSession;

    ULONG ExpectedVersion;

    HANDLE ClientPort;

    ULONG_PTR ClientViewBase;

    ULONG_PTR ClientViewBounds;

    HANDLE ProcessHandle;

    ULONG SequenceNumber;

    ULONG Flags;

    ULONG DebugFlags;

     CLIENT_ID DebugCid;

    ULONG ReferenceCount;

    ULONG ProcessGroupId;

    ULONG ProcessGroupSequence;

    ULONG fVDM;

    ULONG ThreadCount;

    ULONG PriorityClass;

    ULONG Reserved;

    ULONG ShutdownLevel;

    ULONG ShutdownFlags;

    PVOID ServerData[];

} CSR_PROCESS, *PCSR_PROCESS;

但是因为这不是在当前进程中,所以每次都要先读取出来,遍历时与普通的遍历双链表操作稍有差别,但是也很容易实现。

具体的步骤为:
1.找到Csrss.exe进程(这个很简单,Vista要注意有不止一个Csrss进程)
2.遍历Csrss.exe中的模块列表,找到CSRSRV.DLL的基址。
3.在CSRSRV.DLL中根据导出函数CsrLockProcessByClientId找CsrssRootProcess指针
4.构建当前进程名称列表,为输出作准备
5.根据CsrssRootProcess指针的地址,从Csrss.exe进程中读取和遍历每个进程的信息并输出

在Csrss.exe中同样还保存着所有Win32线程的信息,由于线程数目较多,Csrss中采用Hash表的形式来保存线程信息。同样从CSRSRV.DLL的导出函数CsrLockThreadByClientId可以得到CsrThreadHashTable的地址,这是一个Hash表,定义为:

LIST_ENTRY CsrThreadHashTable[256];

Hash算法为:

#define CsrHashThread(t) \

    (HandleToUlong(t)&( - ))

很简单的算法,查找CsrThreadHashTable的方法及遍历方法与前面遍历CsrssRootProcessLink基本相同,不多说。这部分我并未在代码中实现,有兴趣的自己写一写吧,很简单。
对于Vista等较新的系统,由于Session隔离,系统中会有不止一个Csrss进程,这样就需要对这几个Csrss进程都进行处理。就说这么多了,具体地看代码~~
代码下载地址:

看雪:https://bbs.pediy.com/thread-89708.htm

【旧文章搬运】CsrssWalker学习笔记的更多相关文章

  1. 系列文章--Node.js学习笔记系列

    Node.js学习笔记系列总索引 Nodejs学习笔记(一)--- 简介及安装Node.js开发环境 Nodejs学习笔记(二)--- 事件模块 Nodejs学习笔记(三)--- 模块 Nodejs学 ...

  2. 【旧文章搬运】PE重定位表学习手记

    原文发表于百度空间,2008-11-02========================================================================== 先定义一下 ...

  3. 【旧文章搬运】Windbg+Vmware驱动调试入门(四)---VirtualKD内核调试加速工具

    原文发表于百度空间,2009-01-09========================================================================== 今天又想起 ...

  4. 【旧文章搬运】深入分析Win7的对象引用跟踪机制

    原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm============================ ...

  5. 【旧文章搬运】分析了一下360安全卫士的HOOK(二)——架构与实现

    原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被 ...

  6. 【旧文章搬运】再谈隐藏进程中的DLL模块

    原文发表于百度空间,2009-09-17========================================================================== 相当老的话 ...

  7. 【旧文章搬运】Windows句柄表分配算法分析(一)

    原文发表于百度空间,2009-03-30========================================================================== 阅读提示: ...

  8. 【旧文章搬运】Windows句柄表格式

    原文发表于百度空间,2009-02-28========================================================================== 句柄是Wi ...

  9. 【旧文章搬运】更正一个枚举PspCidTable时的错误

    原文发表于百度空间及看雪论坛,2009-02-27 看雪论坛地址:https://bbs.pediy.com/thread-82919.htm============================= ...

随机推荐

  1. linux下二机制文件的查看和编辑

    linux下很多命令都是二机制:/bin/下的各种命令---/bin/sh./bin/cat./bin/dmesg./bin/hostname等 如何查看这些二机制文件: xxd.hexdump 参考 ...

  2. 【Todo】已经打开的页面需要清掉的坑

    下面是当前我浏览器里面打开的技术文章.需要清掉.一个坑一个坑地填吧. 微信文件传输里面也有几篇12.6号的<Akuna Capital电面面经><2016最流行的Java EE服务器 ...

  3. ScSPM

    Linear Spatial Pyramid Matching using Sparse Coding for Image Classification (CVPR'09) 稀疏编码系列: (一)-- ...

  4. linux系统(ubuntu14.04)安装mentohust完毕校园网锐捷认证

    近来升级电脑又一次做了系统.再次面临这linux系统下的各种校园网上网限制. 我在这里採用了mentohust来完毕锐捷认证. 这里我们选择Mentohust取代锐捷. Mentohust 是由华中科 ...

  5. Android4.4 Telephony流程分析——彩信(MMS)发送过程

    本文代码以MTK平台Android 4.4为分析对象,与Google原生AOSP有些许差异,请读者知悉. 彩信收发依靠WAP网络,在Android4.4中的实现基于Http协议的应用.下图为几个彩信传 ...

  6. TCP 的那些事儿(下)(转)

    TCP的RTT算法 从前面的TCP的重传机制我们知道Timeout的设置对于重传非常重要, 设长了,重发就慢,没有效率,性能差: 设短了,重发的就快,会增加网络拥塞,导致更多的超时,更多的超时导致更多 ...

  7. MAC上Nuclide的安装

    MAC上Nuclide的安装 本文版权归作者全部,如需转载请联系孟祥月 CSDN博客:http://blog.csdn.net/mengxiangyue 独立博客:http://mengxiangyu ...

  8. win32收不到F10按键消息解决的方法

    在WM_KEYDOWN中处理F10(VK_F10)消息总是获取不到,后来用spy++监听窗体消息发现按下F10并没有WM_KEYDOWN消息产生,而是产生了WM_SYSKEYDOWN

  9. Serial attached SCSI

    http://en.wikipedia.org/wiki/Serial_attached_SCSI Serial attached SCSI From Wikipedia, the free ency ...

  10. 给EasyUi的Form加入自己主动填充部分输入框的方法

    依据项目须要,基于获取的数据对Form的部分输入框进行填充,而默认的EasyUI的Form 没有该方法.仅仅能一个输入框一个输入框的直接赋值,为此添加了Form对象的setValues,实现依据给定的 ...