[原创]Win10遍历句柄表+修改权限过Callback保护

zjr230506

本想发到看雪，但自己太菜，看雪“牛人”又太多，想想还是发到紫水晶吧。
感谢 TA 的 WIN64 教程带我走上驱动之路，想想除了个 VIP 账号就没教过学费，以后多在论坛发帖来回报一下吧。

正篇：
XP 和 Win7 上关于句柄表的文章不少，一点不懂的朋友请自行百度谷歌搜索，方法没变，依旧使用 ExpLookupHandleTableEntry 。

主要说说 Win10 的变化，相较于 Win7 这两个结构体有所改变： HANDLE_TABLE 和 HANDLE_TABLE_ENTRY ，另外多了一个 HANDLE_TABLE_FREE_LIST 。

根据 WinDBG 逆向出的结构定义如下：

1. 1: kd> dt nt!_HANDLE_TABLE
   
2. + 0x000 NextHandleNeedingPool : Uint4B
   
3. + 0x004 ExtraInfoPages : Int4B
   
4. + 0x008 TableCode : Uint8B
   
5. + 0x010 QuotaProcess : Ptr64 _EPROCESS
   
6. + 0x018 HandleTableList : _LIST_ENTRY
   
7. + 0x028 UniqueProcessId : Uint4B
   
8. + 0x02c Flags : Uint4B
   
9. + 0x02c StrictFIFO : Pos 0, 1 Bit
   
10. + 0x02c EnableHandleExceptions : Pos 1, 1 Bit
    
11. + 0x02c Rundown : Pos 2, 1 Bit
    
12. + 0x02c Duplicated : Pos 3, 1 Bit
    
13. + 0x02c RaiseUMExceptionOnInvalidHandleClose : Pos 4, 1 Bit
    
14. + 0x030 HandleContentionEvent : _EX_PUSH_LOCK
    
15. + 0x038 HandleTableLock : _EX_PUSH_LOCK
    
16. + 0x040 FreeLists : [1] _HANDLE_TABLE_FREE_LIST
    
17. + 0x040 ActualEntry : [32] UChar
    
18. + 0x060 DebugInfo : Ptr64 _HANDLE_TRACE_DEBUG_INFO
    
19. 
    
20. typedef struct _HANDLE_TABLE
    
21. {
    
22.         ULONG32 NextHandleNeedingPool;
    
23.         LONG32 ExtraInfoPages;
    
24.         ULONG_PTR TableCode;
    
25.         PEPROCESS QuotaProcess;
    
26.         LIST_ENTRY HandleTableList;
    
27.         ULONG32 UniqueProcessId;
    
28.         union
    
29.         {
    
30.                 ULONG32 Flags;
    
31.                 struct
    
32.                 {
    
33.                         BOOLEAN StrictFIFO : 1;
    
34.                         BOOLEAN EnableHandleExceptions : 1;
    
35.                         BOOLEAN Rundown : 1;
    
36.                         BOOLEAN Duplicated : 1;
    
37.                         BOOLEAN RaiseUMExceptionOnInvalidHandleClose : 1;
    
38.                 };
    
39.         };
    
40.         ULONG_PTR HandleContentionEvent;
    
41.         ULONG_PTR HandleTableLock;
    
42.         union
    
43.         {
    
44.                 HANDLE_TABLE_FREE_LIST FreeLists[1];
    
45.                 BOOLEAN ActualEntry[32];
    
46.         };
    
47.         PVOID DebugInfo;
    
48. } HANDLE_TABLE, *PHANDLE_TABLE;

复制代码

1. 1: kd> dt nt!_HANDLE_TABLE_ENTRY
   
2. + 0x000 VolatileLowValue : Int8B
   
3. + 0x000 LowValue : Int8B
   
4. + 0x000 InfoTable : Ptr64 _HANDLE_TABLE_ENTRY_INFO
   
5. + 0x008 HighValue : Int8B
   
6. + 0x008 NextFreeHandleEntry : Ptr64 _HANDLE_TABLE_ENTRY
   
7. + 0x008 LeafHandleValue : _EXHANDLE
   
8. + 0x000 RefCountField : Int8B
   
9. + 0x000 Unlocked : Pos 0, 1 Bit
   
10. + 0x000 RefCnt : Pos 1, 16 Bits
    
11. + 0x000 Attributes : Pos 17, 3 Bits
    
12. + 0x000 ObjectPointerBits : Pos 20, 44 Bits
    
13. + 0x008 GrantedAccessBits : Pos 0, 25 Bits
    
14. + 0x008 NoRightsUpgrade : Pos 25, 1 Bit
    
15. + 0x008 Spare1 : Pos 26, 6 Bits
    
16. + 0x00c Spare2 : Uint4B
    
17. 
    
18. typedef struct _HANDLE_TABLE_ENTRY
    
19. {
    
20.         union
    
21.         {
    
22.                 LONG_PTR VolatileLowValue;
    
23.                 LONG_PTR LowValue;
    
24.                 PVOID InfoTable;
    
25.                 LONG_PTR RefCountField;
    
26.                 struct
    
27.                 {
    
28.                         ULONG_PTR Unlocked : 1;
    
29.                         ULONG_PTR RefCnt : 16;
    
30.                         ULONG_PTR Attributes : 3;
    
31.                         ULONG_PTR ObjectPointerBits : 44;
    
32.                 };
    
33.         };
    
34.         union
    
35.         {
    
36.                 LONG_PTR HighValue;
    
37.                 struct _HANDLE_TABLE_ENTRY *NextFreeHandleEntry;
    
38.                 EXHANDLE LeafHandleValue;
    
39.                 struct
    
40.                 {
    
41.                         ULONG32 GrantedAccessBits : 25;
    
42.                         ULONG32 NoRightsUpgrade : 1;
    
43.                         ULONG32 Spare1 : 6;
    
44.                 };
    
45.                 ULONG32 Spare2;
    
46.         };
    
47. } HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;

复制代码

1. 1: kd> dt nt!_HANDLE_TABLE_FREE_LIST
   
2. + 0x000 FreeListLock     : _EX_PUSH_LOCK
   
3. + 0x008 FirstFreeHandleEntry : Ptr64 _HANDLE_TABLE_ENTRY
   
4. + 0x010 LastFreeHandleEntry : Ptr64 _HANDLE_TABLE_ENTRY
   
5. + 0x018 HandleCount : Int4B
   
6. + 0x01c HighWaterMark : Uint4B
   
7. + 0x020 Reserved : [8] Uint4B
   
8. 
   
9. typedef struct _HANDLE_TABLE_FREE_LIST
   
10. {
    
11.         ULONG_PTR FreeListLock;
    
12.         PHANDLE_TABLE_ENTRY FirstFreeHandleEntry;
    
13.         PHANDLE_TABLE_ENTRY lastFreeHandleEntry;
    
14.         LONG32 HandleCount;
    
15.         ULONG32 HighWaterMark;
    
16.         ULONG32 Reserved[8];
    
17. } HANDLE_TABLE_FREE_LIST, *PHANDLE_TABLE_FREE_LIST;

复制代码

只是一部分成员的偏移变化了，要注意的是表示对象地址的成员移到了 ObjectPointerBits 上，长度为 44 位的数据。
Win10上内核对象的地址算法：

1. Object = Entry->ObjectPointerBits;
   
2. Object <<= 4;
   
3. Object |= 0xFFFF000000000000;
   
4. Object += 0x30;

复制代码

另外对象权限也变到了 GrantedAccessBits 成员中，长度为 25 位的数据。

关于 ExpLookupHandleTableEntry 的实现上，相较 Win7 的版本仅仅优化了下代码逻辑，可以说没有变化。
直接抄 WRK 的代码，建议多看几遍代码，配合网上的其他帖子理解一下句柄表结构，我就不废话了（懒）。

本来想写一大堆，但感觉都是废话删掉了，结果就变成这么一篇偷懒贴，干脆直接上核心代码吧：

1. NTSTATUS ViewHandle(ULONG32 ProcessId, POBJECT_INFO Buffer)
   
2. {
   
3.         PEPROCESS EProcess = NULL;
   
4.         ULONG_PTR Handle = 0;
   
5.         PHANDLE_TABLE_ENTRY Entry = NULL;
   
6.         PVOID Object = NULL;
   
7.         POBJECT_TYPE ObjectType = NULL;
   
8. 
   
9.         if (!NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)ProcessId, &EProcess)))
   
10.         {
    
11.                 return STATUS_UNSUCCESSFUL;
    
12.         }
    
13. 
    
14.         for (Handle = 0;; Handle += HANDLE_VALUE_INC)
    
15.         {
    
16.                 Entry = ExpLookupHandleTableEntry(*(PHANDLE_TABLE*)((PUCHAR)EProcess + g_HandleTableOffset), *(PEXHANDLE)&Handle);
    
17.                 if (Entry == NULL)
    
18.                 {
    
19.                         break;
    
20.                 }
    
21. 
    
22.                 *(ULONG_PTR*)&Object = Entry->ObjectPointerBits;
    
23.                 *(ULONG_PTR*)&Object <<= 4;
    
24.                 if (Object == NULL)
    
25.                 {
    
26.                         continue;
    
27.                 }
    
28. 
    
29.                 *(ULONG_PTR*)&Object |= 0xFFFF000000000000;
    
30.                 *(ULONG_PTR*)&Object += 0x30;
    
31.                 ObjectType = ObGetObjectType(Object);
    
32.                 if (ObjectType == NULL)
    
33.                 {
    
34.                         continue;
    
35.                 }
    
36. 
    
37.                 wcscpy(Buffer->szTypeName, *(PCWSTR*)((PUCHAR)ObjectType + 0x18));
    
38.                 Buffer->Handle = (HANDLE)Handle;
    
39.                 Buffer->AccessMask = Entry->GrantedAccessBits;
    
40.                 Buffer->Address = Object;
    
41. 
    
42.                 Buffer++;
    
43.         }
    
44. 
    
45.         ObDereferenceObject(EProcess);
    
46. 
    
47.         return STATUS_SUCCESS;
    
48. }

复制代码

效果是这样的，对照WIN64AST：



这点破东西貌似不够看，再加个然并卵的玩意。

修改进程句柄权限过 Callback 保护：

1. if (wcscmp(*(PCWSTR*)((PUCHAR)ObjectType + 0x18), L"Process") == 0)
   
2. {
   
3.         if (*(PULONG32)((PUCHAR)Object + 0x2E8) == PassiveId)
   
4.         {
   
5.                 Entry->GrantedAccessBits = 0x1FFFFF;
   
6.                 Status = STATUS_SUCCESS;
   
7.         }
   
8. }

复制代码

拿 TP 举例，通常情况下，在 Ring3 调用 OpenProcess 传递 PROCESS_ALL_ACCESS 参数，该句柄对应的进程对象权限是 0x1FFFFF ，但对 TP 保护的游戏进行同样做法后会发现权限变成了 0x1FFD85，它的 Callback 中抹掉了进程对象的这些权限：

1. #define PROCESS_CREATE_THREAD    (0x0002)
   
2. #define PROCESS_VM_OPERATION     (0x0008)
   
3. #define PROCESS_VM_READ          (0x0010)
   
4. #define PROCESS_VM_WRITE         (0x0020)
   
5. #define PROCESS_DUP_HANDLE       (0x0040)
   
6. #define PROCESS_SET_INFORMATION  (0x0200)

复制代码

直接在 TP 的 Callback 中写 ret 游戏会封号，而且 TP 卸载时会蓝屏，内部通信肯定是有的，尝试过逆向，一堆 jmp 把我弄晕了，干脆就换种办法。

如上代码，我的做法是，遍历句柄表，判断对象类型为 "PROCESS" ，然后根据 EPROCESS 对象获得对应进程进程的 PID ，如果是被保护的进程就把权限写成 0x1FFFFF ，测试过 DXF 有效。

效果是这样的，恢复权限之前和之后分别为：



听说这是一种比较二逼的解决方法，没办法谁让我菜呢。如果有更好的办法还望不吝赐教。


最后奉上完整打包好的解决方案， VS2015 + WDK10 直接编译，附件包含：
HandleView User Ring3
HandleView Ring0
RestoreAccess Ring3
RestoreObjectAccess Ring0

Code.zip (54.56 KB, 下载次数: 19322)

2016-7-5 00:44 上传

点击文件名下载附件

溜了溜了{:soso__14291351291962500186_4:}

jyw0113

不错，赞一个

lsj_pro

看看看看看看看看看看

vivi992

不错不错.我来看看

惊雷

shishikankan

wonderzdh

不错，学到了个思路

绿林科技

Good Job！

yhcyhy2010

不错，赞一个

284406022

只想问个问题:楼主是怎么双机调试win10的?我用VirtualKD-2.8,但是开启windbg后进入不了win10系统了,用了VirtualKD最新版本也是这样,目前只有VirtualKD双机调试win7 x64和win7 x86是成功的,win8.1也是不行,求个双机调试win10的方法

163xlt

感谢分享 我直接用xuetr恢复会被制裁

Tesla.Angela

这个帖子我竟然没看到。。。真是不好意思，立马加精加币！

软绵绵

不错，赞一个,感谢楼主分享。

lizhuowu

看起很不错的，赞一个

zjr230506

284406022 发表于 2016-7-20 08:59
只想问个问题:楼主是怎么双机调试win10的?我用VirtualKD-2.8,但是开启windbg后进入不了win10系统了,用了Vir ...

我没有用VirtrualKD，Guest直接添加的调试启动项，设置COM1虚拟串口，然后Windbg远程调试。

284406022

zjr230506 发表于 2016-7-21 14:12
我没有用VirtrualKD，Guest直接添加的调试启动项，设置COM1虚拟串口，然后Windbg远程调试。 ...

Guset账户手动添加windbg远程调试启动项参数? admin帐号手动添加可以吗?

zjr230506

284406022 发表于 2016-7-22 08:17
Guset账户手动添加windbg远程调试启动项参数? admin帐号手动添加可以吗?

这都哪跟哪啊...怎么还扯到账户了呢？
虚拟机用bcdedit命令添加一个启动项，开启调试，指定调试端口和波特率，然后给这个虚拟机添加一个命名管道，宿主机启动Windbg也指定同样的端口和波特率就可以了。
具体百度双机调试，Win10跟Win7一样的方法。

qq892640791

貌似很厉害，虽然有一半没看太懂，这意思可以在ring3下反tp？
拿去研究研究，感觉这方法比vt好容易多了，反回调函数想想就激动

viphack

支持一下。。。。。。。。。。。。。。。。

f74107

不错，赞一个.

lfgameoffice

厉害 学习一哈

JerryAJ

厉害，刚入门的我发现还不太懂，继续努力中

viphack

2E8怎么来的

mafeng1989

谢谢分享，好思路

hapi

遍历的时候蓝屏了，TK中;My OS:16299

neticafe

这个很牛.

qq840465900

学习一下谢谢了

longjianfei

学习了，谢谢

非典型男

哇，楼主能在游戏开着的时候双机调试

bghta

下载看看,感谢分享!