Zine.net online

Witaj na Zine.net online Zaloguj się | Rejestracja | Pomoc
w Szukaj

mgrzeg.net - Admin on Rails :)

Zagadka internalsowa

Pomyślałem, że tym razem zanim napiszę cały tekst, to rzucę małą zagadkę - dla zachęty :)

Mamy sobie zestawioną sesję Windbg w trybie kernel debug z Windows 7 64-bit i w jej trakcie wykonujemy poniższy ciąg poleceń (wynik pierwszego skrócony do interesującego nas minimum):

3: kd> !process 0 0
********
PROCESS fffffa8003dd55c0
    SessionId: 1  Cid: 0750    Peb: 7fffffd3000  ParentCid: 0654
    DirBase: 14ca2000  ObjectTable: fffff8a001dc56b0  HandleCount: 715.
    Image: explorer.exe
********
3: kd> dt nt!_eprocess  ActiveProcessLinks. ImageFileName fffffa8003dd55c0
   +0x188 ActiveProcessLinks  :  [ 0xfffffa80`03f11cb8 - 0xfffffa80`03d9acb8 ]
      +0x000 Flink               : 0xfffffa80`03f11cb8 _LIST_ENTRY [ 0xfffffa80`03f0fcb8 - 0xfffffa80`03dd5748 ]
      +0x008 Blink               : 0xfffffa80`03d9acb8 _LIST_ENTRY [ 0xfffffa80`03dd5748 - 0xfffffa80`03b01cb8 ]
   +0x2e0 ImageFileName       : [15]  "explorer.exe"
3: kd> f 0xfffffa80`03d9acb8 L4 0xb8 0x1c 0xf1 0x03
Filled 0x4 bytes
3: kd> f 0xfffffa80`03f11cb8+0x8 L4 0xb8 0xac 0xd9 0x03
Filled 0x4 bytes
3: kd> g

I zagadka: jaki jest efekt wykonania powyższych operacji? :)

Opublikowane 31 maja 2011 18:16 przez mgrzeg
Filed under:

Powiadamianie o komentarzach

Jeżeli chciałbyś otrzymywać email gdy ta wypowiedź zostanie zaktualizowana, to zarejestruj się tutaj

Subskrybuj komentarze za pomocą RSS

Komentarze:

 

Paweł Łukasik said:

Tak bez głębszej analizy. Spowodowanie, że lista podwójnie wiązana procesów dla procesu exlporer.exe będzie wskazywać jako następny i poprzedni proces na liście na samego siebie? Czyli spowodowanie, że będzie tylko on widoczny w liście procesów?

Pozdrawiam,

Paweł

maja 31, 2011 23:20
 

mgrzeg said:

Ciepło, ciepło... :)

czerwca 1, 2011 10:30
 

Luke said:

Tak na szybko :) Na liście procesów będą same procesy o nazwie explorer.exe ?

czerwca 1, 2011 19:38
 

gt said:

Jak dla mnie, to nie są modyfikowane wskaźniki w explorer.exe, tylko te dla procesów wskazujących w przód i w tył na explorer.exe. Czyli zrobiłeś objazd na liście i explorer.exe nie wyjdzie przy jej przeglądaniu. Znaczy się zniknie z listy procesów pobieranej tradycyjnymi metodami.

czerwca 2, 2011 10:24
 

mgrzeg said:

Chlopaki, widze, ze zabawa Wam sie spodobala :) Ciekawe strzaly, daliscie mi do myslenia ;)

gt: gratuluje :)

"Znaczy się zniknie z listy procesów pobieranej tradycyjnymi metodami."

A jakimi metodami bedzie widoczny?

czerwca 2, 2011 10:42
 

gt said:

hmm... szukałbym po wątkach. Znaczy spróbował wylistować wątki i potem do każdego dopasować proces. I powinniśmy się dodłubać do ukrytego procesu...

czerwca 2, 2011 11:51
 

Luke said:

No fajna zabawa :) A Grześ T. jak zwykle niezawodny :)

czerwca 2, 2011 12:39
 

Paweł Łukasik said:

@Michał:

Wszystkie takie ciekawostki/zagadki fajne.

A co do wykrycia procesu to zawsze chyba można brutem pojechać po PID'ach i próbować otwierać procesy. Jeśli się uda sprawdzamy czy legalną metodą da się go wykryć. Jeśli nie - bum..mamy ukrywający się proces :)

Paweł

czerwca 3, 2011 00:24

Co o tym myślisz?

(wymagane) 
(opcjonalne)
(wymagane) 

  
Wprowadź kod: (wymagane)
Wyślij

Subskrypcje

W oparciu o Community Server (Personal Edition), Telligent Systems