有没有办法确定哪个驱动程序是hanlde的所有者? 我的意思是它存储在Windows对象的任何地方? 我可以通过volatilty查看句柄但是所有内核句柄都分配给System.exe pid:4,我需要确切知道哪个驱动程序正在使用这个系统句柄?
感谢
答案 0 :(得分:1)
有没有办法确定哪个驱动程序是该驱动程序的所有者 处理?
当内核模块(或内核空间中的线程)调用内核API(例如NtCreateFile)时,句柄从System进程的句柄表中分配。在这种情况下,答案是:否。
我的意思是它存储在Windows对象的哪个位置?
我猜不是
我需要确切知道哪个驱动程序正在使用此系统句柄?
取决于你正在做的分析。如果需要将对象关联回拥有它的驱动程序,则可以尝试分析_POOL_HEADER结构以获取有关谁生成分配的信息。但是,如果您需要分析执行对象(例如_FILE对象),此标头中的PoolTag字段将等于ObjectType.Key,因此这种方式对您的目的不是很有用。 通常,如果您正在查找进程可以访问的资源(即内存映射文件),则可以使用 memmap 易变性插件分析进程'页表等进程的内存区域。我建议你使用VAD结构'专用插件,以便您可以收集有关该过程的虚拟地址空间的高级信息。