[登录] [注册]

维普学术论坛 » 工程技术 » 自动化计算机 » ***s之疯言疯语

***s之疯言疯语

[ 673 查看 / 3 回复 ]

发新话题

回复该主题

那个人

那个人

组别注册会员
性别
积分93
帖子20
注册时间 2009-10-14

2009-08-21 00:16 |只看楼主 1^#

字体大小: t T

进程

PspCreateProcess

这个进程创建和初始化一个进程对象

如何获取当前线程？

TEB（线程环境块）位于用户模式下的一个线程信息结构

如下：

1  Id: 84.fb4 Suspend: 1 Teb: 7ffdd000 Unfrozen

打开一个记事本

用windbg 附上，查看所有线程，可以发现

   0  Id: 84.b28 Suspend: 1 Teb: 7ffde000 Unfrozen

ChildEBP RetAddr  Args to Child

0007feb8 77d191be 77d191f1 0007fefc 00000000 ntdll!KiFastSystemCallRet

0007fed8 01002a1b 0007fefc 00000000 00000000 USER32!NtUserGetMessage+0xc

0007ff1c 01007511 01000000 00000000 000aefc1 notepad!WinMain+0xe5

0007ffc0 7c817077 00091378 7c93005d 7ffdf000 notepad!WinMainCRTStartup+0x174

WARNING: Stack unwind information not available. Following frames may be wrong.

0007fff0 00000000 0100739d 00000000 78746341 kernel32!RegisterWaitForInputIdle+0x49

   1  Id: 84.fb4 Suspend: 1 Teb: 7ffdd000 Unfrozen

ChildEBP RetAddr  Args to Child

025efea4 7c92df4a 7c809590 00000002 025efed0 ntdll!KiFastSystemCallRet

025efea8 7c809590 00000002 025efed0 00000001 ntdll!ZwWaitForMultiple***s+0xc

WARNING: Stack unwind information not available. Following frames may be wrong.

025eff44 77dc8631 00000002 025eff6c 00000000 kernel32!CreateFileMappingA+0x86

025effb4 7c80b729 00000000 7c8109cb 77dc8bc1 ADVAPI32!WmiFreeBuffer+0x24e

025effec 00000000 77dc848a 00000000 00000000 kernel32!GetModuleFileNameA+0x1ba

   2  Id: 84.8a0 Suspend: 1 Teb: 7ffdc000 Unfrozen

ChildEBP RetAddr  Args to Child

04e8fc9c 7c92d21a 7c8023f1 00000000 04e8fcd0 ntdll!KiFastSystemCallRet

04e8fca0 7c8023f1 00000000 04e8fcd0 7c986cf9 ntdll!NtDelayExecution+0xc

WARNING: Stack unwind information not available. Following frames may be wrong.

04e8fcf8 7c802455 00002af8 00000000 04e8ff78 kernel32!SleepEx+0x51

04e8fd08 02f3711f 00002af8 c1f6c47a 00000006 kernel32!Sleep+0xf

04e8ff78 02ffdd27 00000000 c1f6c6d2 7c986cf9 SOGOUPY!ImeDestroy+0x435af

04e8ffb0 02ffddc0 7c80b729 03338de8 7c986cf9 SOGOUPY!ImeDestroy+0x10a1b7

04e8ffec 00000000 02ffdd4d 03338de8 00000000 SOGOUPY!ImeDestroy+0x10a250

#  3  Id: 84.aa4 Suspend: 1 Teb: 7ffdb000 Unfrozen

ChildEBP RetAddr  Args to Child

05baffc8 7c971e90 00000005 00000004 00000001 ntdll!DbgBreakPoint

05bafff4 00000000 00000000 00000008 000060c0 ntdll!DbgUiRemoteBreakin+0x2d

每个线程的FS：[18] 就是本线程的TIB结构

我们可以通过如下来获取线程的ID

mov eax, fs:[18h]    ;因为 18h 偏移处是 TIB 结构的线性偏移地址

mov eax, [eax + 24h] ;因为 24h 偏移处是 threadID 的地址

可以通过下面的方式来获取对应的进程的ID

mov eax, fs:[18h]    ;因为 18h 偏移处是 TIB 结构的线性偏移地址

mov eax, [eax + 20h] ;因为 24h 偏移处是 threadID 的地址

在内核条件下FS指向的是KPCR

CurrentThread = PsGetCurrentThread 「」;

PreviousMode = KeGetPreviousModeByThread「&CurrentThread->Tcb」;

CurrentProcess = PsGetCurrentProcessByThread 「CurrentThread」;

以上操作获取当前线程的ETHREAD ，当前线程的模式当前线程对应进程的KPROCESS

这些东西之间的联系时什么呢?

ETHREAD 是一个非常庞大的结构体

他的第一个成员就是KTHREAD，也就是TCB，线程控制块

TCB 中有一个成员就是previous mode ，就是当前模式。

也就是说，我们要想获取当前线程的模式只要在TCB中取就可以了

那么如何根据ETHREAD 来获取RPROCESS 结构呢？

注意在TCB 的apcstate 成员中有个指针指向了KPROCESS，这样就将线程和进程连接起来了

    if 「ARGUMENT_PRESENT 「ParentProcess」」 {

        Status = ObReference***ByHandle 「ParentProcess,

                                            PROCESS_CREATE_PROCESS,

                                            PsProcessType,

                                            PreviousMode,

                                            &Parent,

                                            NULL」;

        if 「!NT_SUCCESS 「Status」」 {

            return Status;

        }

如果父进程存在

就在内核对象句柄表中通过父进程的句柄来把父进程的EPROCESS结构找出来

TOP

amoon

amoon

组别新手上路
性别
积分149
帖子149
注册时间 2009-10-14

2009-08-22 09:58 |只看该用户 2^#

字体大小: t T

学习了。

TOP

pupou@163.com

pupou@163.com

组别新手上路
性别
积分18
帖子18
注册时间 2009-10-14

2009-08-23 12:34 |只看该用户 3^#

字体大小: t T

看得头都晕了

TOP

llaosuo@hotmail

llaosuo@hotmail.com

组别注册会员
性别
积分116
帖子55
注册时间 2009-11-04

2009-11-05 13:48 |只看该用户 4^#

字体大小: t T

看得头都大了

TOP

上一主题 | 下一主题