首先,我们需要安装WinDbg,并在必要时设置符号路径。如果没有符号,你将无法看到内核中已加载模块的信息。
在文件菜单中,可以选择设置内核调试 → 附加到内核。
在Process Explorer中,你可以识别对象并获取它们在内核空间中的地址。点击任何这些句柄,可以查看对应的内存地址。
Windbg信息解释和屏幕:
对象 0xFFFFE2843B1B0090:
这条命令要求WinDbg显示内存地址0xFFFFE2843B1B0090处内核对象的信息。
对象: ffffe2843b1b0090 类型: (ffffe28434ff72a0) ALPC端口:
这一行告诉你,内存地址ffffe2843b1b0090持有一个类型为“ALPC端口”的对象。ALPC(高级本地过程调用)是Windows操作系统中使用的一种通信方法,用于进程之间更快、更安全的通信。类型指针(ffffe28434ff72a0)指向这个ALPC端口对象的类型信息,这有助于系统适当地管理该对象。
对象头: ffffe2843b1b0060 (新版本):
Windows内核中的每个对象都有一个对象头,其中包含关于该对象的元数据。地址ffffe2843b1b0060处的对象头包含关键信息,如引用计数、句柄计数,以及可能的安全或审计信息。
句柄计数: 1 指针计数: 29073:句柄计数指的是当前有多少个句柄(通过句柄引用)打开着这个对象。在这种情况下,这个ALPC端口有1个句柄,意味着它被系统中的一个句柄显式引用。指针计数指的是指向该对象的指针或引用数量,包括句柄和其他引用(例如来自其他对象或系统组件的指针)。指针计数达到29073非常高,表明这个ALPC端口在系统内被广泛引用,这对于一个被许多组件使用的通信通道来说可能是典型的。
你看到的输出是来自WinDbg中使用的!findhandle命令,WinDbg是Windows环境中一个强大的调试器,特别适用于内核调试。此命令通常用于搜索系统中的所有句柄或特定句柄,这在系统故障排除和安全评估中非常有用。以下是输出结果的分解:
进程 ffffe2843ad8c080:
这表明在内存地址ffffe2843ad8c080的进程内,没有找到引用指定对象地址(ffffe2843b1b0090)的句柄。这意味着该对象没有被这个特定进程访问或使用。
[ffffe2843ab71080 unsecapp.exe]:
这里识别了另一个进程(unsecapp.exe),位于内存地址ffffe2843ab71080。unsecapp.exe通常是一个与WMI(Windows Management Instrumentation)相关的系统进程,用于促进客户端应用程序与远程服务器上的WMI之间的通信。
1ac: 条目 ffff8003244fe6b0 授予访问权限 1f0001 (继承) (审计):
这一行详细说明了unsecapp.exe进程中的一个特定句柄(标识符1ac)。条目 ffff8003244fe6b0指的是句柄表中的句柄条目。授予访问权限 1f0001指定了授予该句柄的访问权限。十六进制值1f0001描述了具体的访问权限(如读、写、执行),包括继承(Inherit)和审计(Audit)标志。FINISHED
CSD0tFqvECLokhw9aBeRqmTqKjMg7DMSECIQsr2pFIQfR38iZkitvkvpLmoXoqk6TVGUqcKKdN1plqLTJk8ysx0DXmWP/3LJ623yfnHlTV9eLIVY9Qsx0oCCFKygC1Hmp1Cpdt/bhMBsNRglx48AQg==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
)