HOOK Object XXProcedure 保护进程

最新推荐文章于 2023-06-11 20:41:35 发布
最新推荐文章于 2023-06-11 20:41:35 发布
阅读量2.2k 收藏
点赞数
分类专栏: 知识点 文章标签: object hook null header xp c
 

HOOK Object XXProcedure 保护进程

lkd> !process
PROCESS 87cec960  SessionId: 0  Cid: 0bf8    Peb: 7ffd6000  ParentCid: 0c7c
    DirBase: 0ab405e0  ObjectTable: e2a94618  HandleCount: 353.
    Image: windbg.exe

lkd> !object 87cec960 
Object: 87cec960  Type: (8a5f8e70) Process
    ObjectHeader: 87cec948 (old version)
    HandleCount: 3  PointerCount: 55

 lkd> dt _object_header 87cec948
nt!_OBJECT_HEADER
   +0x000 PointerCount     : 55
   +0x004 HandleCount      : 3
   +0x004 NextToFree       : 0x00000003
   +0x008 Type             : 0x8a5f8e70 _OBJECT_TYPE
   +0x00c NameInfoOffset   : 0 ''
   +0x00d HandleInfoOffset : 0 ''
   +0x00e QuotaInfoOffset  : 0 ''
   +0x00f Flags            : 0x20 ' '
   +0x010 ObjectCreateInfo : 0x899c2b40 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : 0x899c2b40
   +0x014 SecurityDescriptor : 0xe2bcc349
   +0x018 Body             : _QUAD

lkd> dt 0x8a5f8e70 _OBJECT_TYPE
nt!_OBJECT_TYPE
   +0x000 Mutex            : _ERESOURCE
   +0x038 TypeList         : _LIST_ENTRY [ 0x8a5f8ea8 - 0x8a5f8ea8 ]
   +0x040 Name             : _UNICODE_STRING "Process"
   +0x048 DefaultObject    : (null)
   +0x04c Index            : 5
   +0x050 TotalNumberOfObjects : 0x4b
   +0x054 TotalNumberOfHandles : 0xca
   +0x058 HighWaterNumberOfObjects : 0x51
   +0x05c HighWaterNumberOfHandles : 0xd3
   +0x060 TypeInfo         : _OBJECT_TYPE_INITIALIZER
   +0x0ac Key              : 0x636f7250
   +0x0b0 ObjectLocks      : [4] _ERESOURCE

lkd> dt _OBJECT_TYPE_INITIALIZER 0x8a5f8e70 +60
nt!_OBJECT_TYPE_INITIALIZER
   +0x000 Length           : 0x4c
   +0x002 UseDefaultObject : 0 ''
   +0x003 CaseInsensitive  : 0 ''
   +0x004 InvalidAttributes : 0xb0
   +0x008 GenericMapping   : _GENERIC_MAPPING
   +0x018 ValidAccessMask  : 0x1f0fff
   +0x01c SecurityRequired : 0x1 ''
   +0x01d MaintainHandleCount : 0 ''
   +0x01e MaintainTypeList : 0 ''
   +0x020 PoolType         : 0 ( NonPagedPool )
   +0x024 DefaultPagedPoolCharge : 0x1000
   +0x028 DefaultNonPagedPoolCharge : 0x290
   +0x02c DumpProcedure    : (null)
   +0x030 OpenProcedure    : (null)
   +0x034 CloseProcedure   : (null)
   +0x038 DeleteProcedure  : 0x805d2cdc     void  nt!PspProcessDelete+0
   +0x03c ParseProcedure   : (null)
   +0x040 SecurityProcedure : 0x805f9150     long  nt!SeDefaultObjectMethod+0
   +0x044 QueryNameProcedure : (null)
   +0x048 OkayToCloseProcedure : (null)
 

 看到最后几个XXXXProcedure了吧,在操作EPROCESS的时候会调用相应的函数,具体是哪个函数由操作的种类决定,调用的时候先检查是否为null,不为空就call,为null就算了。

有些函数的返回值不会对操作产生影响,而有些则会直接影响操作是否成功,而且Win2000和XP Vista系统还不一样。

 在Win2000和XP Vista系统下各个函数的参数有可能不一样,比如OpenProcedure 在2000下是8个参数,XP和Vista下是9个参数。

通过Hook这些可以实现许多猥琐的事,不仅仅进程的EPROCESS了,每一个object都有这样函数。

yeook
关注
专栏目录
HookAPI.rar_delphi 保护_hookapi_hookapi delphi_进程 保护_进程保护
09-14
本篇文章将深入探讨`HookAPI`的概念、它在Delphi中的应用以及其作为进程保护手段的优缺点。 首先,让我们理解什么是`HookAPI`。`HookAPI`,即API钩子,是一种Windows编程技术,允许开发者在特定的系统调用(API)被...
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
例如,它可以监测并阻止试图关闭或修改受保护进程的行为。此外,通过hook关键的系统服务,如进程创建、线程注入等,可以防止恶意软件的入侵。 具体实施SSDT Hook时,通常需要以下步骤: 1. 获取SSDT的地址:这通常...
object hook实现禁止创建文件
小驹的专栏
11-05 5113
内核 object hook 文件
保护内核对象—对象挂钩(Object Hook
qq_42814021的博客
10-17 1544
内核对象 每个内核对象实际上都是一个内存块,它是由操作系统内核分配的,并且只能由操作系统内核访问。这个内存块是一个数据结构,它的成员维护着和这个对象相关的信息。但是应用程序不能直接访问和修改这些数据结构,它们需要通过句柄。 先通过系统调用打开/创建内核对象,让当前进程与目标对象之间建立起连接,此时就会返回一个句柄。然后调用Windows提供的一系列API函数就能访问这些内核对象。所以句柄其实相当于一个接口,Ring3层通过它来访问Ring0层的一些数据结构。 内核对象由对象头和对象体组成。 当应用程序打开内
object hook
04-21 4655
object是什么东西?光从名字上面不难看出,对象。这篇是关于内核对象的hook,为什么要hook他呢,额,这个嘛。因人而异。 看雪上面有很详细的说明,本菜鸟算是抄袭过来而已。版权归看雪所有。 objectHook简单介绍 windbg截图为XP SP3系统。 _OBJECT_HEADER结构: typedef struct _OBJECT_HEADER
hook_对象类型的回调函数打开进程 保护记事本不被打开_
10-03 351
  #include"ntifs.h" ULONG yuanshi_OpenProcedure; typedef enum _OB_OPEN_REASON {     ObCreateHandle,     ObOpenHandle,     ObDuplicateHandle,     ObInheritHandle,     ObMaxOpenReason } OB_OPEN_REASON; ...
利用HOOK API做进程保护
编程菜鸟---正在努力进阶
06-27 5405
其实就很简单,只是对TerminateProcess的HOOK,因为要阻止的不是本进程的,所以要用到全局钩子,也就是把他做成dll形式的!首先,对前面的HOOK API进行封装CAPIHook://///////////////////////////////////////////////////////// APIHook.h文件#ifndef __APIHOOK_
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
《驱动层Hook SSDT:进程与驱动保护技术详解》 在信息安全领域,Hook SSDT(System Service Dispatch Table)是一种常见的技术手段,它涉及到操作系统内核、驱动程序以及进程管理等多个核心概念。Hook SSDT允许...
APIHOOK.rar_APIHOOK_Process_hook api_hook api basic_进程保护
09-19
”的提示中,IS可能是指某些进程管理工具,如任务管理器,说明该技术可以有效防止这些工具对受保护进程的强制终止。 标签“apihook”、“process hook_api”、“hook_api_basic”和“进程保护”进一步强调了API ...
objecthook_objecthook_
09-30
在Python编程中,`objecthook`是一个非常关键的概念,特别是在序列化和反序列化操作中。这个概念主要与`json`模块相关,因为当我们使用`json`进行数据转换时,`objecthook`允许我们自定义如何将JSON对象转化为Python...
Object Hook 简单介绍
liujiayu2的专栏
07-18 1465
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,水平才能提高得快。    第一我们先看下OBJECT的组成 主要是3部分 如下图
自己定义Object Type对抗Object Hook
OSReact的专栏
07-12 1751
莫灰灰版主说“Object hook 自己定义Process Type和Thread Type才是王道。 ” 今天咱就来这个。 Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object,Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体
[Windows 驱动开发] object hook
LYSM
08-30 639
内核对象种类 名称 类型 Job、Directory 对象目录中的路径 SymbolLink 符号链接 Section 内存映射文件 Port LPC端口 IoCompletion Io完成端口 File 文件(并非专指磁盘文件) Mutex、Event、Semaphore、Timer 同步对象 Key 注册表中的键 Token 用户/组令牌 Process、Thread 进程线程 Pipe 管道 Mailslot 邮件槽 Debug 调试端口
Windows驱动开发学习记录-ObjectType HookObjectType结构相关分析
最新发布
时空之中的灵魂
06-11 721
其中用不着EPROCESS的结构,获取这个的地址是为了获取_OBJECT_HEADER的地址,在XP环境的代码中可以用以下来获取到_OBJECT_HEADER地址,因为_OBJECT_HEADER结构中的Body部分就是获取的对应的对象,如EPROCESS。在64位系统上 _OBJECT_HEADER中并没有字段直接包含_OBJECT_TYPE结构,而是一个索引,索引的是一个名叫 ObTypeIndexTable的表,这个表是一个包含所有ObjectType的表结构,详细可见我另一篇文章。
OBJECT_METHOD初窥
weixin_34195142的博客
10-31 150
一、背景:WindowsNT的对象机制 WindowsNT系统将各种资源以对象的方式进行组织和管理。虽然WindowsNT内核使用C语言和汇编语言编写的,本身并未使用到C++中的面向对象机制。但依然通过抽象化的对象概念来对各类资源进行管理。 对象分为对象头和对象体两部分,对象头又分为标准的对象头和可选头部,后者这里不介绍。标准头部的定义如下: ...
Object Hook原始地址查找
yeook的专栏
11-16 2957
写的Object Hook原始地址查找通用性似乎还可以 2009-02-15 11:46 如题。 有关于SecurityProcedure: 部分ObjectType在创建的时候没有提供SecurityProcedure,所以无法得到,但是ObCreateObjectType发现SecurityProcedure被提供为NULL的时候会自行设置为SeDefaultObj
驱动保护中的ObjectType_Callback探索
whatday的专栏
10-31 9544
最近学习驱动保护,有点小小心德与大家分享下。 当前环境:VM中的win7 32 保护程序是某游戏的驱动保护。 具体现象是:在用PCHunter工具查看object钩子时发现如下的信息:   疑问点1:在HOOK列显示的是ObjectType_Callback,以前只听说过ObjectType HOOK没听说过这个呀,这个是什么呢? 疑问点2:Object类型列显示的是“Pro
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
通过以上步骤,设计和实现的组件不仅能够有效地保护进程不受恶意程序的干扰,还具备良好的可移植性和可扩展性,适用于各种需要高权限进程保护的软件系统。这种技术在网络安全和系统管理领域具有广泛的应用价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值