標(biāo) 題:
【原創(chuàng)】CsrssWalker學(xué)習(xí)筆記(附源代碼)
作 者:
achillis
時(shí) 間: 2009-05-24,09:35
鏈 接: http://bbs.pediy.com/showthread.php?t=89708
學(xué)習(xí)了一下古老的CsrssWalker,寫點(diǎn)筆記~~
在Csrss.exe中,保存著所有Win32子系統(tǒng)進(jìn)程的進(jìn)程信息,這些信息以鏈表的形式保存。
正常情況下,每一個(gè)新創(chuàng)建的進(jìn)程都會(huì)通知Csrss.exe,Csrss.exe接收這些信息然后保存起來(lái),所以遍歷這個(gè)鏈表就可以得到所有Win32子系統(tǒng)進(jìn)程的信息。
首先就是找鏈表頭了,鏈表頭為CsrssRootProcess,在CSRSRV.DLL導(dǎo)出的函數(shù)中有對(duì)CsrssRootProcess的操作,因此可以通過(guò)CSRSRV.DLL的導(dǎo)出函數(shù)找到CsrssRootProcess。
比較方便一點(diǎn)的,是從CsrLockProcessByClientId中找到CsrssRootProcess.
代碼:
mov????? edx, [ebp+arg_4]
and????? dword ptr [edx], 0
mov????? esi, dword_75AA891C ; Base=75AA0000
add????? esi, 8
mov????? [ebp+arg_4], 0C0000001h
75AA891C處就是CsrssRootProcess的指針了,這個(gè)指針的值可以通過(guò)特征匹配找到,具體請(qǐng)參考代碼。讀取其內(nèi)容,得到CsrssRootProcess=0x001629C0(這個(gè)只是我的系統(tǒng)上的)
從這里讀就可以得到CsrssRootProcess的內(nèi)容了,然后遍歷Link即可
涉及到的一些數(shù)據(jù)結(jié)構(gòu)在CsrssStruct.h中。
進(jìn)程信息的結(jié)構(gòu)如下:
代碼:
typedef struct _CSR_PROCESS
{
???? CLIENT_ID ClientId; //這里可以得到進(jìn)程PID和主線程TID
???? LIST_ENTRY ListLink; //就是這個(gè)鏈表
?? LIST_ENTRY ThreadList;
???? struct _CSR_PROCESS *Parent;
???? PCSR_NT_SESSION NtSession;
???? ULONG ExpectedVersion;
???? HANDLE ClientPort;
???? ULONG_PTR ClientViewBase;
???? ULONG_PTR ClientViewBounds;
???? HANDLE ProcessHandle;
???? ULONG SequenceNumber;
???? ULONG Flags;
???? ULONG DebugFlags;
???? CLIENT_ID DebugCid;
???? ULONG ReferenceCount;
???? ULONG ProcessGroupId;
???? ULONG ProcessGroupSequence;
???? ULONG fVDM;
???? ULONG ThreadCount;
???? ULONG PriorityClass;
???? ULONG Reserved;
???? ULONG ShutdownLevel;
???? ULONG ShutdownFlags;
???? PVOID ServerData[];
} CSR_PROCESS, *PCSR_PROCESS;但是因?yàn)檫@不是在當(dāng)前進(jìn)程中,所以每次都要先讀取出來(lái),遍歷時(shí)與普通的遍歷雙鏈表操作稍有差別,但是也很容易實(shí)現(xiàn)。
具體的步驟為:
1
.找到Csrss.exe進(jìn)程(這個(gè)很簡(jiǎn)單,Vista要注意有不止一個(gè)Csrss進(jìn)程)
2.遍歷Csrss.exe中的模塊列表,找到CSRSRV.DLL的基址。
3.在CSRSRV.DLL中根據(jù)導(dǎo)出函數(shù)CsrLockProcessByClientId找CsrssRootProcess指針
4.構(gòu)建當(dāng)前進(jìn)程名稱列表,為輸出作準(zhǔn)備
5.根據(jù)CsrssRootProcess指針的地址,從Csrss.exe進(jìn)程中讀取和遍歷每個(gè)進(jìn)程的信息并輸出
在Csrss.exe中同樣還保存著所有Win32線程的信息,由于線程數(shù)目較多,Csrss中采用Hash表的形式來(lái)保存線程信息。同樣從CSRSRV.DLL的導(dǎo)出函數(shù)CsrLockThreadByClientId可以得到CsrThreadHashTable的地址,這是一個(gè)Hash表,定義為:
代碼:
LIST_ENTRY CsrThreadHashTable[256];
Hash算法為:
#define CsrHashThread(t) \
???? (HandleToUlong(t)&(256 - 1))
????
很簡(jiǎn)單的算法,
查找CsrThreadHashTable的方法及遍歷方法與前面遍CsrssRootProcessLink基本相同,不多說(shuō)。這部分我并未在代碼中實(shí)現(xiàn),有興趣的自己寫一寫吧,很簡(jiǎn)單。
對(duì)于Vista等較新的系統(tǒng),由于Session隔離,系統(tǒng)中會(huì)有不止一個(gè)Csrss進(jìn)程,這樣就需要對(duì)這幾個(gè)Csrss進(jìn)程都進(jìn)行處理。就說(shuō)這么多了,具體地看代碼吧~~