@写在前面
     不同于x86,x64的DPC是被加密了的。对于x64DPC的兴趣始于我已经流产的scalpel计划。当时问某牛怎么遍历,得到的答案是“500大洋给代码”。真是R了狗了,好歹小哥我也是搞技术的,自己搞吧。

PS:这个代码编辑功能。。。醉的不行了。

@前言
     在早期的x86系统上面,DPCTimer都是裸奔的,直接用过已导出的KiTimerTableListHead就可以遍历,网上的枚举资料也是一大把。但是等DPC被加密之后,突然就没有资料了(资料约等于拿来直接F7的代码)。So,搞起。
        简单整理下思路,枚举DPC可以分为两道工序:
1.        找到x64的”KiTimerTableListHead”
2.        把加密了的DPC进行解密
PS:其实PG_Disable里面有代码的,奈何从来没人说过啊。。。

@找到x64的” KiTimerTableListHead”
       翻翻以前的资料,在早期的windows中导出了一个名为“KiTimerTableListHead”的神奇东西,直接就可以遍历DPC定时器。但是到了win7 x64上面,符号表抹去了这个可怜的小家伙。因此我们需要找一条新的道路来找到所有的DPC定时器。
      参考论坛里的一个帖子:http://bbs.pediy.com/showthread.php?t=148135
      枚举DPC的新路线就是:_KPRCB->_KTIMER->_KDPC

先简单说一下_KPRCB,这个结构体是与CPU的核心对应的,一个核心对应一个。获取方法以及判断数量的方法,都可以通过一个未导出的变量nt!KiProcessorBlock来获取:

1
2
3
4
5
6
7
8
9
kd> dq nt!KiProcessorBlock
fffff800`040fd900  [COLOR="red"]fffff800`0403ee80[/COLOR] 00000000`00000000
fffff800`040fd910  00000000`00000000 00000000`00000000
fffff800`040fd920  00000000`00000000 00000000`00000000
fffff800`040fd930  00000000`00000000 00000000`00000000
fffff800`040fd940  00000000`00000000 00000000`00000000
fffff800`040fd950  00000000`00000000 00000000`00000000
fffff800`040fd960  00000000`00000000 00000000`00000000
fffff800`040fd970  00000000`00000000 00000000`00000000

KiProcessorBlock就是一个数组,数组里有几个元素就是CPU有几个核心and每个元素对应一个_KPRCB的结构体。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
kd> dt _KPRCB fffff800`0403ee80
ntdll!_KPRCB
   +0x000 MxCsr            : 0x1f80
   +0x004 LegacyNumber     : 0 ''
   +0x005 ReservedMustBeZero : 0 ''
   +0x006 InterruptRequest : 0 ''
   +0x007 IdleHalt         : 0x1 ''
   +0x008 CurrentThread    : 0xfffff800`0404ccc0 _KTHREAD
   +0x010 NextThread       : (null)
 ………..
   [COLOR="Red"]+0x2200 TimerTable       : _KTIMER_TABLE[/COLOR]
   +0x4400 DpcGate          : _KGATE
   +0x4418 PrcbPad52        : (null)
 …………

这个结构体实在有点大,其他的我们都不关心,只需要看offset在0x2200处的TimerTable就行了。

接下来是把所有的KTIMER都枚举出来。KTIMER在TimerTable中的存储方式是:数组+双向链表。

1
2
3
4
kd> dt _KTIMER_TABLE fffff800`0403ee80+0x2200
ntdll!_KTIMER_TABLE
   +0x000 TimerExpiry      : [64] (null)
   [COLOR="red"]+0x200 TimerEntries     : [256] _KTIMER_TABLE_ENTRY[/COLOR]
1
2
3
4
5
kd> dt _KTIMER_TABLE_ENTRY fffff800`0403ee80+0x2200+0x200
ntdll!_KTIMER_TABLE_ENTRY
   +0x000 Lock             : 0
   [COLOR="red"]+0x008 Entry            : _LIST_ENTRY [ 0xfffff800`04041288 - 0xfffff800`04041288 ][/COLOR]
   +0x018 Time             : _ULARGE_INTEGER 0xffffffff`9cac3e4d

到了_KTIMER_TABLE_ENTRY这里,Entry开始的双向链表,每一个元素都对应一个Timer,也就是说我们已经可以愉快的遍历所有未解密的Timer了。

@愉快的解密DPC
      想找解密代码,最好的办法就是去找到他是怎么加密的。So,我们跟踪一下KeSetTimer的流程就好了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
kd> u nt!KeSetTimer
nt!KeSetTimer:
fffff800`03ed80a8 4883ec38        sub     rsp,38h
fffff800`03ed80ac 4c89442420      mov     qword ptr [rsp+20h],r8
fffff800`03ed80b1 4533c9          xor     r9d,r9d
fffff800`03ed80b4 4533c0          xor     r8d,r8d
[COLOR="red"]fffff800`03ed80b7 e814000000      call    nt!KiSetTimerEx (fffff800`03ed80d0)[/COLOR]
fffff800`03ed80bc 4883c438        add     rsp,38h
fffff800`03ed80c0 c3              ret
fffff800`03ed80c1 90              nop
 
kd> u nt!KiSetTimerEx l20
nt!KiSetTimerEx:
fffff800`03ed80d0 48895c2408      mov     qword ptr [rsp+8],rbx
fffff800`03ed80d5 4889542410      mov     qword ptr [rsp+10h],rdx
fffff800`03ed80da 55              push    rbp
fffff800`03ed80db 56              push    rsi
fffff800`03ed80dc 57              push    rdi
fffff800`03ed80dd 4154            push    r12
fffff800`03ed80df 4155            push    r13
fffff800`03ed80e1 4156            push    r14
fffff800`03ed80e3 4157            push    r15
fffff800`03ed80e5 4883ec50        sub     rsp,50h
[COLOR="red"]fffff800`03ed80e9 488b0518502200  mov     rax,qword ptr [nt!KiWaitNever (fffff800`040fd108)]
fffff800`03ed80f0 488b1de9502200  mov     rbx,qword ptr [nt!KiWaitAlways (fffff800`040fd1e0)]
fffff800`03ed80f7 4c8bb424b0000000 mov     r14,qword ptr [rsp+0B0h]
fffff800`03ed80ff 4933de          xor     rbx,r14
fffff800`03ed8102 488bf1          mov     rsi,rcx[/COLOR]
fffff800`03ed8105 450fb6f9        movzx   r15d,r9b
[COLOR="red"]fffff800`03ed8109 480fcb          bswap   rbx[/COLOR]
fffff800`03ed810c 418bf8          mov     edi,r8d
[COLOR="red"]fffff800`03ed810f 4833d9          xor     rbx,rcx
fffff800`03ed8112 8bc8            mov     ecx,eax
fffff800`03ed8114 48d3cb          ror     rbx,cl
fffff800`03ed8117 4833d8          xor     rbx,rax[/COLOR]
fffff800`03ed811a 450f20c4        mov     r12,cr8
fffff800`03ed811e b802000000      mov     eax,2
fffff800`03ed8123 440f22c0        mov     cr8,rax
fffff800`03ed8127 65488b2c2520000000 mov   rbp,qword ptr gs:[20h]
fffff800`03ed8130 33d2            xor     edx,edx
fffff800`03ed8132 488bce          mov     rcx,rsi
fffff800`03ed8135 e88ae6ffff      call    nt!KiCancelTimer (fffff800`03ed67c4)
[COLOR="red"]fffff800`03ed813a 48895e30        mov     qword ptr [rsi+30h],rbx[/COLOR]
fffff800`03ed813e 488b9c2498000000 mov     rbx,qword ptr [rsp+98h]
fffff800`03ed8146 440fb6e8        movzx   r13d,al

流程就是:KeSetTimer/KeSetTimerEx->KiSetTimerEx->加密DPC。
      OK,这坨蛋疼的x64汇编我就不多说了。看不懂的拖进ida然后f5。如果还是看不懂,就看我下面的代码。(其实就是把待加密的DPC用KTimer、KiWaitNever和KiWaitAlways进行异或操作,中间再进行一些ror,bswap的位移操作。)

@写一下代码自己撸个痛快
代码里没有过多的注释,上面的看懂了,这个代码看一眼就行。
里面的三个未导出符号的获取,可以通过PDB或者硬编码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
#include<ntddk.h>
 
typedefstruct_KTIMER_TABLE_ENTRY
{
    ULONG_PTR   Lock;
    LIST_ENTRY  Entry;
    ULONG_PTR   Time;
}KTIMER_TABLE_ENTRY, *PKTIMER_TABLE_ENTRY;
 
#defineKTIMER_TABLE_ENTRY_MAX   (256)
 
typedefstruct_KTIMER_TABLE
{
    ULONG_PTR           TimerExpiry[64];
    KTIMER_TABLE_ENTRY  TimerEntries[KTIMER_TABLE_ENTRY_MAX];
}KTIMER_TABLE, *PKTIMER_TABLE;
 
ULONG_PTR       ptrKiProcessorBlock     = 0;
ULONG_PTR       ptrOffsetKTimerTable    = 0;
ULONG_PTR       ptrKiWaitNever          = 0;
ULONG_PTR       ptrKiWaitAlways     = 0;
int             nTotalCount         = 0;
 
#definep2dq(x)  (*((ULONG_PTR*)x))
 
void DPC_Print(PKTIMERptrTimer)
{
    ULONG_PTR   ptrDpc  = (ULONG_PTR)ptrTimer->Dpc;
    KDPC*       DecDpc  = NULL;
    int         nShift  = (p2dq(ptrKiWaitNever) & 0xFF);
 
    //_RSI->Dpc = (_KDPC *)v19;
    //_RSI = Timer;
    ptrDpc ^= p2dq(ptrKiWaitNever);//v19 = KiWaitNever ^ v18;
    ptrDpc = _rotl64(ptrDpc, nShift);//v18 = __ROR8__((unsigned __int64)Timer ^ _RBX, KiWaitNever);
    ptrDpc ^= (ULONG_PTR)ptrTimer;
    ptrDpc = _byteswap_uint64(ptrDpc);//__asm { bswap   rbx }
    ptrDpc ^= p2dq(ptrKiWaitAlways);//_RBX = (unsigned __int64)DPC ^ KiWaitAlways;
    //real DPC
    if (MmIsAddressValid((PVOID)ptrDpc))
    {
        nTotalCount++;
        DecDpc = (KDPC*)ptrDpc;
        DbgPrint("[dpc]dpc:%p,routine:%p\n", DecDpc, DecDpc->DeferredRoutine);
    }
 
}
 
void DPC_Enum()
{
    PKTIMER_TABLE       ptrKTimerTable      = 0;
    //PKTIMER_TABLE_ENTRY   ptrTimerTabEntry    = NULL;
    PKTIMER             ptrTimer            = NULL;
    PLIST_ENTRY         ptrListEntry        = NULL;
    PLIST_ENTRY         ptrListEntryHead    = NULL;
    int                 i               = 0;
    DbgBreakPoint();
 
    ptrKTimerTable = (PKTIMER_TABLE)(p2dq(ptrKiProcessorBlock) + ptrOffsetKTimerTable);
    KdPrint(("ptrKTimerTable:%p\n", ptrKTimerTable));
 
    for (i = 0; i<KTIMER_TABLE_ENTRY_MAX; i++)
    {
        DbgPrint("\n[dpc]ptrTimerTabEntry:%d\n", i);
 
        ptrListEntryHead = &(ptrKTimerTable->TimerEntries[i].Entry);
        for (ptrListEntry = ptrListEntryHead->Flink; ptrListEntry != ptrListEntryHead; ptrListEntry = ptrListEntry->Flink)
        {
            ptrTimer = CONTAINING_RECORD(ptrListEntry, KTIMER, TimerListEntry);
            if (!MmIsAddressValid(ptrTimer))   
                continue;
 
            if (!ptrTimer->Dpc)
                continue;
 
            DPC_Print(ptrTimer);
        }
    }
    DbgPrint("TotalDPC:%d\n", nTotalCount);
}
 
void DriverUnload(INPDRIVER_OBJECTDriverObject)
{
}
NTSTATUS DriverEntry(INPDRIVER_OBJECTDriverObject, INPUNICODE_STRINGRegistryPath)
{
    DriverObject->DriverUnload = DriverUnload;
 
    ptrKiProcessorBlock     = 0xfffff800040fd900;
    ptrOffsetKTimerTable    = 0x2200;
    ptrKiWaitNever          = 0xfffff800040fd108;
    ptrKiWaitAlways     = 0xfffff800040fd1e0;
 
    DPC_Enum();
 
    returnSTATUS_SUCCESS;
}

@最后
      其实很简单,奈何没人说啊,写个帖子也当是给自己做个笔记了吧。
      最后鸣谢:论坛若干DPC科普贴 and PG_Disable.
Ps:其实还是愉快的做伸手党舒服啊。。。

jpg改rar 

x64枚举DPC定时器的更多相关文章

  1. 驱动开发:内核枚举DpcTimer定时器

    在笔者上一篇文章<驱动开发:内核枚举IoTimer定时器>中我们通过IoInitializeTimer这个API函数为跳板,向下扫描特征码获取到了IopTimerQueueHead也就是I ...

  2. 驱动开发:内核枚举IoTimer定时器

    今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在IoInitializeTimer初始化 ...

  3. Windows驱动开发-DPC定时器

    DCP是一种使用更加灵活的定时器,可以对任意间隔时间进行定时.DPC定时器的内部使用了一个定时器对象KTIMER,当你设定了定时器之后,从设定开始起经过这个时间之后操作系统会将一个DPC定时器的例程插 ...

  4. Win64 驱动内核编程-25.X64枚举和隐藏内核模块

    X64枚举和隐藏内核模块 在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 I ...

  5. DPC定时器

    KeInitializeTimer 初始化定时器 KeInitializeTimerEx 初始化定时器 KeSetTimer 开启定时器(只执行一次) KeSetTimerEx 开启定时器(可以设置循 ...

  6. R3 x64枚举进程句柄

    转载:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292608 需要注意的是:在R3使用ZwQueryObject很容易锁死,需要 ...

  7. 驱动开发:内核枚举PspCidTable句柄表

    在上一篇文章<驱动开发:内核枚举DpcTimer定时器>中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows ...

  8. [转载] 关于Win7 x64下过TP保护的一些思路,内核层过保护,驱动过保护

    首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了.在他的教程里我学到了不少东西.第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护.如果有讲错的地方,还望指出.说不定 ...

  9. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

随机推荐

  1. hostapd作为radius服务器

    使用hostapd作为radius服务器,用于企业wifi加密认证. 参考链接: http://www.cnblogs.com/claruarius/p/5902141.html 去网上下载hosta ...

  2. 性能优化系列三:JVM优化

    一.几个基本概念 GCRoots对象都有哪些 所有正在运行的线程的栈上的引用变量.所有的全局变量.所有ClassLoader... 1.System Class.2.JNI Local3.JNI Gl ...

  3. JDBC异常

    异常处理允许我们以受控的方式处理异常情况,而不是直接退出程序,例如程序定义的错误. 发生异常时可以抛出异常.术语“异常”表示当前的程序执行停止,并且被重定向到最近的适用的catch子句.如果没有适用的 ...

  4. JAR 归档文件是与平台无关的文件格式

    JAR(Java Archive,Java 归档文件)是与平台无关的文件格式,它允许将许多文件组合成一个压缩文件,可以使用Java软件打开. 为 J2EE 应用程序创建的 JAR 文件是 EAR 文件 ...

  5. (转)关于C++ const 的全面总结

    转自:http://blog.csdn.net/Eric_Jo/article/details/4138548 C++中的const关键字的用法非常灵活,而使用const将大大改善程序的健壮性,本人根 ...

  6. Mongodb学习笔记(2)--修改器

    修改器 利用原子的更新修改器,可以使得这种部分更新极为高效,更新修改器是一种特殊的键,用来指定复杂的更新操作,比如调整,增加或删除,还可以操作数组或内嵌文档. $inc $inc修改器用来增加已有键的 ...

  7. JAVABEAN必须继承序列化借口的作用

    这里有人家对序列化的测试 http://www.javaeye.com/topic/350137 Java的"对象序列化"能让你将一个实现了Serializable接口的对象转换成 ...

  8. OpenGL ES学习资料总结

    从今年春节后开始学习OpenGL ES,发现网上资料很有限,而且良莠不齐,所以整理了一下我学习时用到的资料和一些心得. 1. OpenGL ES1.x参考资料 把NEHE的教程移植到了Android上 ...

  9. 给NSMutableArray添加copy属性就变成了NSArray

    -copy, as implemented by mutable Cocoa classes, always returns their immutable counterparts. Thus, w ...

  10. Greenplum-cc-web监控软件安装时常见错误

     错误error: 1.no pg_hba.conf entry for host “::1”, user “gpmon”, database “gpperfmon”, SSL off 解决: vi ...