自己定义Object Type对抗Object Hook

最新推荐文章于 2023-09-21 16:33:04 发布
最新推荐文章于 2023-09-21 16:33:04 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: Rootkit 文章标签: object header null struct hook string
莫灰灰版主说“Object hook 自己定义Process Type和Thread Type才是王道。 ”
今天咱就来这个。
Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object,Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体(Object Body)。各种Object的共有的信息(例如,对象类型、对象的引用计数、句柄数等信息)保存在OBJECT_HEADER与其他的几个结构中。换而言之,在对象管理器内部,不同类型的对象具有相同的Object Header,但Object Body部分却是不同的。

  一个对象由三部分组成,在Object Header之前是一段变长的区域,由四个独立的结构体组成:
代码: 
typedef struct _OBJECT_HEADER_QUOTA_INFO {
  ULONG PagedPoolCharge;
  ULONG NonPagedPoolCharge;
  ULONG SecurityDescriptorCharge;
  PEPROCESS ExclusiveProcess;
  #ifdef _WIN64
  ULONG64 Reserved; // Win64 requires these structures to be 16 byte aligned.
  #endif
  } OBJECT_HEADER_QUOTA_INFO, *POBJECT_HEADER_QUOTA_INFO;
  typedef struct _OBJECT_HEADER_HANDLE_INFO {
  union {
  POBJECT_HANDLE_COUNT_DATABASE HandleCountDataBase;
  OBJECT_HANDLE_COUNT_ENTRY SingleEntry;
  };
  } OBJECT_HEADER_HANDLE_INFO, *POBJECT_HEADER_HANDLE_INFO;
  // begin_ntosp
  typedef struct _OBJECT_HEADER_NAME_INFO {
  POBJECT_DIRECTORY Directory;
  UNICODE_STRING Name;
  ULONG QueryReferences;
  #if DBG
  ULONG Reserved2;
  LONG DbgDereferenceCount;
  #ifdef _WIN64
  ULONG64 Reserved3; // Win64 requires these structures to be 16 byte aligned.
  #endif
  #endif
  } OBJECT_HEADER_NAME_INFO, *POBJECT_HEADER_NAME_INFO;
  // end_ntosp
  typedef struct _OBJECT_HEADER_CREATOR_INFO {
  LIST_ENTRY TypeList;
  HANDLE CreatorUniqueProcess;
  USHORT CreatorBackTraceIndex;
  USHORT Reserved;
  } OBJECT_HEADER_CREATOR_INFO, *POBJECT_HEADER_CREATOR_INFO;

一个对象可以包含全部四个结构,也可能只包含其中的某个,因此这段区域是变长的。之后是OBJECT_HEADER结构,NameInfoOffset、HandleInfoOffset、QuotaInfoOffset分别为OBJECT_HEADER到OBJECT_HEADER_NAME_INFO、OBJECT_HEADER_HANDLE_INFO、OBJECT_HEADER_QUOTA_INFO这三个结构的偏移。
看一下OBJECT_HEADER结构的信息:
代码: 
kd> dt nt!_object_header 8985d9f0
  nt!_OBJECT_HEADER
  +0x000 PointerCount : 6
  +0x004 HandleCount : 0
  +0x004 NextToFree : (null)
  +0x008 Type : 0x898df3b0 _OBJECT_TYPE
  +0x00c NameInfoOffset : 0x10 ''
  +0x00d HandleInfoOffset : 0 ''
  +0x00e QuotaInfoOffset : 0 ''
  +0x00f Flags : 0x32 '2'
  +0x010 ObjectCreateInfo : 0x00000001 _OBJECT_CREATE_INFORMATION
  +0x010 QuotaBlockCharged : 0x00000001
  +0x014 SecurityDescriptor : 0xe100c843
  +0x018 Body : _QUAD

OBJECT_HEADER的大小为0×18字节,因此Object Body = OBJECT_HEADER + 0×18,但是0×18是个硬编码值,如果OBJECT_HEADER在以后的系统中发生了变化,显然用这个0×18是不可靠的。利用OBJECT_TO_OBJECT_HEADER()传递一个Object Body的地址给它,就可以得到这个对象的OBJECT_HEADER结构。
下面看看_OBJECT_TYPE结构。
代码: 
lkd> dt 0x8a5f8e70 _OBJECT_TYPE
nt!_OBJECT_TYPE
   +0x000 Mutex            : _ERESOURCE
   +0x038 TypeList         : _LIST_ENTRY [ 0x8a5f8ea8 - 0x8a5f8ea8 ]
   +0x040 Name             : _UNICODE_STRING "Process"
   +0x048 DefaultObject    : (null)
   +0x04c Index            : 5
   +0x050 TotalNumberOfObjects : 0x4b
   +0x054 TotalNumberOfHandles : 0xca
   +0x058 HighWaterNumberOfObjects : 0x51
   +0x05c HighWaterNumberOfHandles : 0xd3
   +0x060 TypeInfo         : _OBJECT_TYPE_INITIALIZER
   +0x0ac Key              : 0x636f7250
   +0x0b0 ObjectLocks      : [4] _ERESOURCE

继续看一下_OBJECT_TYPE_INITIALIZER结构。
代码: 
lkd> dt _OBJECT_TYPE_INITIALIZER 0x8a5f8e70 +60
nt!_OBJECT_TYPE_INITIALIZER
   +0x000 Length           : 0x4c
   +0x002 UseDefaultObject : 0 ''
   +0x003 CaseInsensitive  : 0 ''
   +0x004 InvalidAttributes : 0xb0
   +0x008 GenericMapping   : _GENERIC_MAPPING
   +0x018 ValidAccessMask  : 0x1f0fff
   +0x01c SecurityRequired : 0x1 ''
   +0x01d MaintainHandleCount : 0 ''
   +0x01e MaintainTypeList : 0 ''
   +0x020 PoolType         : 0 ( NonPagedPool )
   +0x024 DefaultPagedPoolCharge : 0x1000
   +0x028 DefaultNonPagedPoolCharge : 0x290
   +0x02c DumpProcedure    : (null)
   +0x030 OpenProcedure    : (null)
   +0x034 CloseProcedure   : (null)
   +0x038 DeleteProcedure  : 0x805d2cdc     void  nt!PspProcessDelete+0
   +0x03c ParseProcedure   : (null)
   +0x040 SecurityProcedure : 0x805f9150     long  nt!SeDefaultObjectMethod+0
   +0x044 QueryNameProcedure : (null)
   +0x048 OkayToCloseProcedure : (null)

看到OpenProcedure了吧。所以在被hook之前要保存_OBJECT_TYPE结构。
然后替换_OBJECT_TYPE。
留下的就是写代码实现了,请自己动手。除非你不会申请内存,不会拷贝,。。。。。。。
要锻炼动手能力,有问题大家交流。

 

OSReact
关注
专栏目录
objecthook_objecthook_
09-30
在Python编程中,`objecthook`是一个非常关键的概念,特别是在序列化和反序列化操作中。这个概念主要与`json`模块相关,因为当我们使用`json`进行数据转换时,`objecthook`允许我们自定义如何将JSON对象转化为Python...
ObjectHeaderObjectTypeObjectHook的学习
weixin_30887919的博客
03-23 537
  0x01 前言   之前研究RootKit技术,发现了对象钩子这个概念,一直不知道是什么,然后在网上搜,最先找到的是sudami的一篇文章,于是跟着大牛的脚步研究,其中也参考<内核情景分析>,这本书真是每次看每次有收获。下面记录一下学习过程。   0x02 OBJECT_HEADER结构   这是对象的数据结构的形态,其中OBJECT_HEADER...
Windows驱动开发学习记录-ObjectType HookObjectType结构相关分析
时空之中的灵魂
06-11 721
其中用不着EPROCESS的结构,获取这个的地址是为了获取_OBJECT_HEADER的地址,在XP环境的代码中可以用以下来获取到_OBJECT_HEADER地址,因为_OBJECT_HEADER结构中的Body部分就是获取的对应的对象,如EPROCESS。在64位系统上 _OBJECT_HEADER中并没有字段直接包含_OBJECT_TYPE结构,而是一个索引,索引的是一个名叫 ObTypeIndexTable的表,这个表是一个包含所有ObjectType的表结构,详细可见我另一篇文章。
Object Hook 简单介绍
liujiayu2的专栏
07-18 1465
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,水平才能提高得快。    第一我们先看下OBJECT的组成 主要是3部分 如下图
ObjectC Hook函数的实现与实战
yixiangboy的博客
05-21 3749
一、简介在一个类没有实现源码的情况下,如果你要改变一个类的实现方法,你可以选择重继承该类,然后重写方法,或者使用Category类别名暴力抢先的方式。但是这两种方式,都需要我们在使用的时候改变我们的编程方式,或者继承该类,或者需要引入Category。下面推出的一种方式,不需要我们修改我们编写逻辑的代码,就能实现函数的Hook功能,那就是RunTime中的Method Swizzling—交换方法的
勘误 win7x64下对OpenProcedure的ObjectHook
zhuhuibeishadiao
06-10 2765
那个时候刚接触ObjectHook 我对进程对象下的OpenProcedure进行HOOK 保护程序typedef LONG32 (NEAR CDECL FUNCT_005B_0FC1_OpenProcedure) (enum _OB_OPEN_REASON, CHAR, UINT64 /*struct _EPROCESS**/, UINT64 /*VOID**/, UINT64 /*ULONG
内核Hook资料-Object HOOK
12-31
内核Hook资料-Object HOOK
ObjectHook protect MBR
02-08
ObjectHook protect MBR
DRUPAL6中定义hook_menu参数的方法
09-28
在 Drupal 中,`hook_menu()` 是一个至关重要的钩子,用于定义站点的菜单结构、路由和页面回调。通过 `hook_menu()`,模块可以注册自己的路径,从而创建自定义页面、菜单项和功能。 `hook_menu()` 的定义位于 `...
HOOKAPI(二)——HOOK自己程序的MessageBox
02-26
这里是HOOK自己程序的MessageBox,即将自己程序对MessageBoxAPI的调用重定向到自己实现的API中,在自己定义的API中实现内容的替换。需要注意的是,本例子的HOOK仅仅对自己实现的MFC窗口程序,当开始HOOK后,自己的...
XueTr专用版 Hook 过保
10-30
XueTr的主要功能 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.其它一些手工杀毒时需要用到的功能,如修复LSP、修复安全模式等
OBJECT_METHOD初窥
weixin_34195142的博客
10-31 150
一、背景:WindowsNT的对象机制 WindowsNT系统将各种资源以对象的方式进行组织和管理。虽然WindowsNT内核使用C语言和汇编语言编写的,本身并未使用到C++中的面向对象机制。但依然通过抽象化的对象概念来对各类资源进行管理。 对象分为对象头和对象体两部分,对象头又分为标准的对象头和可选头部,后者这里不介绍。标准头部的定义如下: ...
win7下的Object Header结构
行者无疆的专栏
03-13 1849
参考了一下第四版的windows internals书,看到上面写的object header结构有些不同,查了些资料,发现的确,微软作了修改,以下是在win7下得到的结构。 lkd> dt nt!_object_header    +0x000 PointerCount     : Int4B    +0x004 HandleCount      : Int4B    +0x004 Ne
windows之权限检查
最新发布
cjmao1230的博客
09-21 77
After obtaining an object’s security information, ObCheckObjectAccess invokes the SRM function SeAccessCheck. SeAccessCheck 在得到一个对象的安全信息以后,ObCheckObjectAccess 调用SRM功能SeAccessCheck.当文件被打开ObCheckObjectAccess 不会被执行。当一个对象被打开,对象管理器执行一个查找操作-----在对象管理器的表空间。
HOOK Object XXProcedure 保护进程
yeook的专栏
11-16 2240
HOOK Object XXProcedure 保护进程 lkd> !process PROCESS 87cec960  SessionId: 0  Cid: 0bf8    Peb: 7ffd6000  ParentCid: 0c7c     DirBase: 0ab405e0  ObjectTable: e2a94618  HandleCount: 353.     Image:
总结一下ObRegisterCallbacks绕过
zhuhuibeishadiao
10-18 5385
1.物理Section Map到用户空间 解析物理地址操作内存 2.修改PsProcessType/PsThreadType下_OBJECT_TYPE_INITIALIZER下RetainAccess为0x1fffff 无视抹权限 原理见ObpPreInterceptHandleCreate ObpPreInterceptHandleCreate(PVOID Object, unsigned _...
驱动保护中的ObjectType_Callback探索
whatday的专栏
10-31 9543
最近学习驱动保护,有点小小心德与大家分享下。 当前环境:VM中的win7 32 保护程序是某游戏的驱动保护。 具体现象是:在用PCHunter工具查看object钩子时发现如下的信息:   疑问点1:在HOOK列显示的是ObjectType_Callback,以前只听说过ObjectType HOOK没听说过这个呀,这个是什么呢? 疑问点2:Object类型列显示的是“Pro
Object Hook原始地址查找
yeook的专栏
11-16 2957
写的Object Hook原始地址查找通用性似乎还可以 2009-02-15 11:46 如题。 有关于SecurityProcedure: 部分ObjectType在创建的时候没有提供SecurityProcedure,所以无法得到,但是ObCreateObjectType发现SecurityProcedure被提供为NULL的时候会自行设置为SeDefaultObj
objectHook简单介绍
o330820350的专栏
09-12 1092
标 题: 【原创】objectHook简单介绍 作 者: ggdd 时 间: 2011-01-15,13:13:20 链 接: http://bbs.pediy.com/showthread.php?t=128161 其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄
object_hook
05-23
同时,我们还定义了一个 `person_hook` 函数作为 `object_hook` 参数,用来将解析出的字典转换为 `Person` 对象。最后,我们调用 `json_to_person` 函数并打印出转换后的 `Person` 对象的属性值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值