使每个 CP U都有个 KPCR 。其中 KPC R 这个结构中有一个域 KPRCB(Kernel Processor Control Block) 结构,这个结构扩展了 KPCR ,这两个结构用来保存与线程切换相关的全局信息。.页眉. .页脚. 具体的说,该命令可以显示每个处理器的详细信息,包括 IDT (线程控制符)和 GDT (全局段描述符表)地址,当前运行的线程和空闲线程, CPU 数量、制造厂商及其速度, CR3 寄存器或页目录表基地址的值等信息。该命令的运行结果如图 3.3 所示,这条命令的输出结果要等待大概几个小时的时间,读者一定要耐心等待。图 3.3 kprcscan 命令输出结果 3.2.2 查看进程和动态链接库信息查看内存中进程信息的命令主要有两个: pslist 和 psscan 。使用 pslist 可以枚举系统中的进程,这条命令通过遍历 PsActiveProcessHead 指针指向的双向链表枚举当前内存中活跃的所有进程信息,主要包括偏移地址、进程 ID号、父进程 ID 号、线程数量、句柄数量、进程会话 ID号以及进程开始和退出的时间。 P slis t命令不能够检测到内存中的隐藏进程以及由于系统受攻击导致未在链表中出现的进程信息,但 psscan 命令能够解决这个问题。使用 psscan 命令能够通过内存池标签查找的方式枚举系统中的所有进程,这条命令不仅能够显示当前内存中活跃的进程信息,还能够枚举以前终止的进程和被隐藏以及被 rootkit 破坏的未在活跃进程链表中出现的进程,而正是这些隐藏的或掉链的进程在内存取证中具有重要的参考价值。所以,此处只显示 psscan 命令查看内存进程信息,其运行结果如图 3.4 所示。由于该命令输出结果较多,我们通过>psscan.txt 将其输出结果重定向到 psscan.txt 文件中,如图 3.5 所示。
全文预览
