探究：icesword如何列出隐藏进程

by：wuyanfeng icesword 是通过 PspCidTable 这个表来遍历进程的， PspCidTable 是一个没有被 ntoskrnl.exe 导出的。这就涉及到如何定位PspCidTable 的问题。icesword 是通过搜索特征串的方式定位 PspCidTalbe. PspCidTable 是一个 HANDLE_TALBE 结构。

PsLookupProcessByProcessId 函数中会引用 PspCidTalbe 变量。icesword从PsLookupProcessByProcessId 函数的前几十个字节

内搜索 PspCidTalbe 变量。在icesword 里面是不能调试的即使是用 windbg , softice,syser 调试器下断点调试，也是断不住的。

当然了你也不能用调试器调试，因为 icesword.exe 会在一个timer 中不停的重新设置 int 1,int 3 的中断处理函数。设置成windows ntoskrnl.exe 中的缺省处理函数。即使你用硬件断点寄存器也是不管用的。那有的人就会说既然设置成 windows ntoskrnl.exe中的缺省处理函数就可以使用 windbg 双机调试.icesword 也做了处理,icesword 会通过 KdDebuggerEnabled 变量判断是否允许内核调试。如果允许调试的话. icesword 会调用 KdDisableDebugger 函数禁止内核调试。

第一部分

(写的太细了,因为怕被 rootkit 的作者利用.所以就把第一部分给去掉了.如果需要可以单独和我联系)

写第二部分

这里顺便在说两个分析 icesword 中遇到的反调试小陷阱 这里把代码片段列出来，希望作者原谅

.text:000xxxF0 mov [ebp+IoControlCode], eax

.text:000xxxF3 mov eax, [esp+5Ch-6Ch] ; 反调试代码

.text:000xxxF7 push eax

.text:000xxxF8 mov eax, [esp+60h-6Ch]

.text:000xxxFC pop ebx

.text:000xxxFD cmp eax, ebx

.text:000xxxFF jz short loc_1240B ; 如果没有被调试则会跳转

.text:000xxx01 mov eax, 200EDBh

.text:000xxx06 not eax

.text:000xxx08 push eax

.text:000xxx09 pop edi

.text:000xxx0A stosd

.text:000xxxF3 mov eax, [esp+5Ch+6Ch] 当单步执行到这条指令或者在这条指令上设置断点的时候，因为当调试器在这条指令上弹出的时候会用到被调试程序的堆栈来保存 EFLAGS,CS,EIP, （如果 int 1,或 int 3 处理函数用任务门就可以解决这个问题。）例如 当代码执行到这条指令时ESP = 805E4320h 执行完这条指令是 eax 的值为 [ESP+5Ch-6Ch]=[ESP-10h]=[805E4320h-10h]=[805E4310h] 的值。