原文发表于百度空间,2009-03-28
==========================================================================
PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:
1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID
2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)
3.PspCidTable是一个独立的句柄表,而每个进程私有的句柄表以一个双链连接起来
注意访问对象时要掩掉低三位,每个进程私有的句柄表是双链连接起来的,实际上ZwQuerySystemInformation枚举系统句柄时就是走的这条双链,隐藏进程的话,这条链也是要断掉的~~
PspCidTable相关的调用:
1.系统初始化时调用PspInitPhase0()初始化进程管理子系统,此时创建PspCidTable
PspCidTable = ExCreateHandleTable (NULL); //创建! if (PspCidTable == NULL) { return FALSE; } // // Set PID and TID reuse to strict FIFO. This isn't absolutely needed but // it makes tracking audits easier. // ExSetHandleTableStrictFIFO (PspCidTable); ExRemoveHandleTable (PspCidTable); //使得PspCidTable独立于其它句柄表
2.进程创建时,PspCreateProcess()在PspCidTable中以进程对象创建句柄,是为PID
// // Create the process ID // CidEntry.Object = Process; CidEntry.GrantedAccess = 0; Process->UniqueProcessId = ExCreateHandle (PspCidTable, &CidEntry); //进程的PID是这么来的 if (Process->UniqueProcessId == NULL) { Status = STATUS_INSUFFICIENT_RESOURCES; goto exit_and_deref; }
3.线程创建时,PspCreateThread()在PspCidTable中以线程对象创建句柄,是为TID
Thread->ThreadsProcess = Process; Thread->Cid.UniqueProcess = Process->UniqueProcessId; CidEntry.Object = Thread; CidEntry.GrantedAccess = 0; Thread->Cid.UniqueThread = ExCreateHandle (PspCidTable, &CidEntry); //线程的TID if (Thread->Cid.UniqueThread == NULL) { ObDereferenceObject (Thread); return (STATUS_INSUFFICIENT_RESOURCES); }
这儿可以清楚地知道:PID和TID分别是EPROCESS和ETHREAD对象在PspCidTable这个句柄表中的索引
4.进程和线程的查询,主要是以下三个函数,按照给定的PID或TID从PspCidTable从查找相应的进线程对象
PsLookupProcessThreadByCid()
PsLookupProcessByProcessId()
PsLookupThreadByThreadId()
其中有如下调用:
CidEntry = ExMapHandleToPointer(PspCidTable, ProcessId);
CidEntry = ExMapHandleToPointer(PspCidTable, ThreadId);
ExMapHandleToPointer内部仍然是调用ExpLookupHandleTableEntry()根据指定的句柄查找相应的HANDLE_TABEL_ENTRY,
从而获取Object
5.线程退出时,PspThreadDelete()在PspCidTable中销毁句柄
if (Thread->Cid.UniqueThread != NULL) { if (!ExDestroyHandle (PspCidTable, Thread->Cid.UniqueThread, NULL)) { KeBugCheck(CID_HANDLE_DELETION); } }
6.进程退出时,PspProcessDelete()在PspCidTable中销毁句柄
if (Process->UniqueProcessId) { if (!(ExDestroyHandle (PspCidTable, Process->UniqueProcessId, NULL))) { KeBugCheck (CID_HANDLE_DELETION); } }
这里要注意,如果进线程退出时,销毁句柄却发现句柄不存在造成ExDestroyHandle返回失败,可是要蓝屏滴~
所以抹了PspCidTable来隐藏的进程,在退出时必须把进线程对象再放回去,欲知后事如何,请看下回分解~~