Döküman ActiveProcessLinks #offensiveInternals (1 Viewer)

Sinner1337 · Eyl 12, 2025

Windowsta her çalışan program sistem çekirdeginde yani kernelde bir _EPROCESS yapısıyla temsil edilir.Şimdi şu yapıda processin pid si bellek kullanımı güvenlik izinleri ve s tüm bilgileri içerir
Eprocess yapıları bir birine _LİST_ENTRY adlı çift bir liste sistemi ile bağlanıyor doubly linked list ismi ingilizce Zaaa:

Bu structdada iki tane işaretçi pointer var
Flink ve BLink

Kod:

typedef struct _LIST_ENTRY {
  struct _LIST_ENTRY *Flink;
  struct _LIST_ENTRY *Blink;
} LIST_ENTRY, *PLIST_ENTRY, PRLIST_ENTRY;

listde eğer bir entry yoksa flink ile next headere işaret ediyor
blink ise bir önceki süreci gösterir
Şimdi biz bunu neden research ediyoruz çünki task manager (task list) ve powershell (Get-Process) bu linki kullanıp çalışan süreçleri listeler
Şimdi elimizde birtane windbg var kernel debug icin setup olunmuş ve win10 makine (vm)

vm runladik ve notepad açtık

Kod:

!process 0 0 notepad.exe

notepadin eprocessini aliyoruz
ffffce0da21d6080

dt nt!_LIST_ENTRY ffffce0da21d6080+448 win 10/11 de 448 offseti ActiveProcessLinks-in yeridirflink ve blink mantigi kisa:

Kod:

biz manuel olarak chrome flinkini explorere ayarlıyacaz explorerin blinkini ise chromeya bu sayede arada notepad kayb olucak :)
[Chrome] --> [Notepad] --> [Explorer]
[Chrome] <-- [Notepad] <-- [Explorer]

SONRASI:
[Chrome] ---------> [Explorer]
[Chrome] <--------- [Explorer]
        
[Notepad] düşecek ve gözükmeyecek ama threadi hale aktif kalacaktır sistemde

windbgde ayni mantik:

Kod:

eq 0xffffce0da18074c8 0xfffff8060741e1c0; eq 0xfffff8060741e1c0+8 0xffffce0da18074c8; eq ffffce0da21d6080+448 ffffce0da21d6080+448; eq ffffce0da21d6080+448+8 ffffce0da21d6080+448

Konumuz buraya kadar arkadaşlar uzun zaman sonra konu paylaştım umarım birilerine faydalı olmuştur çee

RotAyyıldız · Eyl 12, 2025

eline sağlık canım

z3xrin · Eyl 13, 2025

Ellerine sağlık abi Zaaa:

Morningstar · Eyl 13, 2025

eline koluna emeğine sağlık

ACE Veen · Eyl 13, 2025

Artoria' Alıntı:
Windowsta her çalışan program sistem çekirdeginde yani kernelde bir _EPROCESS yapısıyla temsil edilir.Şimdi şu yapıda processin pid si bellek kullanımı güvenlik izinleri ve s tüm bilgileri içerir
Eprocess yapıları bir birine _LİST_ENTRY adlı çift bir liste sistemi ile bağlanıyor doubly linked list ismi ingilizce
Bu structdada iki tane işaretçi pointer var
Flink ve BLink

Kod:

typedef struct _LIST_ENTRY { struct _LIST_ENTRY *Flink; struct _LIST_ENTRY *Blink; } LIST_ENTRY, *PLIST_ENTRY, PRLIST_ENTRY;

listde eğer bir entry yoksa flink ile next headere işaret ediyor
blink ise bir önceki süreci gösterir
Şimdi biz bunu neden research ediyoruz çünki task manager (task list) ve powershell (Get-Process) bu linki kullanıp çalışan süreçleri listeler
Şimdi elimizde birtane windbg var kernel debug icin setup olunmuş ve win10 makine (vm)

vm runladik ve notepad açtık
Ekli dosyayı görüntüle 9809

Kod:

!process 0 0 notepad.exe

notepadin eprocessini aliyoruz
ffffce0da21d6080
Ekli dosyayı görüntüle 9810

dt nt!_LIST_ENTRY ffffce0da21d6080+448 win 10/11 de 448 offseti ActiveProcessLinks-in yeridirflink ve blink mantigi kisa:

Kod:

biz manuel olarak chrome flinkini explorere ayarlıyacaz explorerin blinkini ise chromeya bu sayede arada notepad kayb olucak :) [Chrome] --> [Notepad] --> [Explorer] [Chrome] <-- [Notepad] <-- [Explorer] SONRASI: [Chrome] ---------> [Explorer] [Chrome] <--------- [Explorer] [Notepad] düşecek ve gözükmeyecek ama threadi hale aktif kalacaktır sistemde

windbgde ayni mantik:

Kod:

eq 0xffffce0da18074c8 0xfffff8060741e1c0; eq 0xfffff8060741e1c0+8 0xffffce0da18074c8; eq ffffce0da21d6080+448 ffffce0da21d6080+448; eq ffffce0da21d6080+448+8 ffffce0da21d6080+448

Ekli dosyayı görüntüle 9808
Konumuz buraya kadar arkadaşlar uzun zaman sonra konu paylaştım umarım birilerine faydalı olmuştur

Eline sağlık cürüm

Döküman ActiveProcessLinks #offensiveInternals (1 Viewer)

Bu konuyu görüntüleyen kullanıcılar