蛋疼的ObReferenceObjectByName调试

最新推荐文章于 2023-07-16 19:03:01 发布
最新推荐文章于 2023-07-16 19:03:01 发布
阅读量6.4k 收藏 4
点赞数 3
分类专栏: 内核驱动 Windows 文章标签: attributes null 文档 语言 access windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aksnzhy/article/details/6863811
版权
本文记录了作者在使用ObReferenceObjectByName内核函数时遇到的编译问题和解决过程。从WDK环境的编译错误,到网上搜索解决方案,再到尝试不同参数类型,最终发现内核程序对自动强制转换的限制与普通应用不同,从而解决问题。这一过程让作者在蛋疼的调试中有所收获。
摘要由CSDN通过智能技术生成

今天花了近一天的时间都在调试ObReferenceObjectByName这个内核函数,结果却无比狗血。故写篇文章记录一下这一天蛋疼的调试记录。

其实说是调试,其实是一直编译连接不通过。今天在研究楚狂人(其实是360的大牛wowocock写的代码,楚狂人进行了简化处理)的键盘过滤驱动代码。

有一段代码是要获得kbdclass这个内核驱动对象的对象地址,然后获得整个设备链,将过滤设备绑定在所有设备之上。其中要用到ObReferenceObjectByName()这个内核函数,

代码如下:

POBJECT_TYPE IoDriverObjectType; 

NTSTATUS ObReferenceObjectByName(   
	IN PUNICODE_STRING ObjectPath,   
	IN ULONG Attributes,   
	IN PACCESS_STATE PassedAccessState OPTIONAL,   
	IN ACCESS_MASK DesiredAccess OPTIONAL,   
	IN POBJECT_TYPE ObjectType,   
	IN KPROCESSOR_MODE AccessMode,   
	IN OUT PVOID ParseContext OPTIONAL,   
	OUT PVOID *ObjectPtr);

// 初始化一个字符串,就是Kdbclass驱动的名字。
	RtlInitUnicodeString(&uniNtNameString, KBD_DRIVER_NAME); 
	// 请参照前面打开设备对象的例子。只是这里打开的是驱动对象。
	status = ObReferenceObjectByName ( 
		&uniNtNameString, 
		OBJ_CASE_INSENSITIVE, 
		NULL, 
		0, 
		IoDriverObj
最低0.47元/天 解锁文章
aksnzhy
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
inline hook ObReferenceObjectByHandle 程序代码
05-25
windows 驱动层,inline hook 简单的示例程序。其实是看了“详谈内核三步走Inline Hook实现“,网上的一篇文章做的一个示例程序,只做了第一个, hook ObReferenceObjectByHandle.里面还有一个说明文件。我想这可以作为inline hook 的入门,找找感觉。
[Win驱动7]ObReferenceObjectByName获取设备对象指针(PDEVICE_OBJECT)
輚至消亡
10-18 1383
1. ObReferenceObjectByName是通过设备对象名获取设备对象指针, 其会造成设备对象的引用计数增加所以还需要调用ObDereferenceObject来降低引用计数 2. IoGetDeviceObjectPointer可以通过设备对象名获取设备对象指针和与其相关的文件对象指针,同样需要对其调用ObDereferenceObject来降低引用 第一种方式是通过这个未公开的内核函数ObReferenceObjectByName来获取设备对象指针,该原型是这样的: NTKERNELA
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 6060
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
ObReferenceObjectByName函数,通过驱动程序得到设备对象
anna的专栏
10-23 1488
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include NTKERNELAPI NTSTATUS ObReferenceObjectByName(     IN PUNICODE_STRING ObjectName,     IN ULONG
ObReferenceObjectByHandle内核函数
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-07 1499
大槪就是看这个句柄是当前进程的句柄还是当前线程的句柄,最后再看看这AccessMode是内核还是用户态下,内核的话,句柄表就用ObpKernelHandleTable,用户态的话就用当前进程的句柄表 NTSTATUS ObReferenceObjectByHandle (     __in HANDLE Handle,     __in ACCESS_MASK DesiredAccess,
游戏+脱壳版本 趣味小游戏
05-12
在这个游戏的“脱壳版本”中,意味着开发者可能已经移除了原有的保护措施,如加密或反调试技术,使得游戏更易于分析和研究。这样的版本对于程序员和安全研究人员来说,具有一定的学习价值,他们可以通过这个游戏了解...
的提权经验1
08-08
图/文 作者:人生 今天遇到一个恨的服务器SU可以提权,~直接加账号,以为就能上去了。研究了很久,不知道是不是修改过策略了这个用户神马都没有,,太悲剧了
Java 版游戏,开发工具:MyEclipse
12-01
this.setTitle("游戏 1.0版"); this.setUndecorated(true); this.setSize(500, 400); this.setLocationRelativeTo(null); //让窗口居中 this.setVisible(true); this.setDefaultCloseOperation(EXIT_ON_...
安卓一键打开网络调试【源码】
07-07
的是 每次关机又要重新打开网络调试 很麻烦,而且容易被累死 所以我开发了这 另外,此APP需要root权限 如果失败,那就USB连接电脑adb 运行:"adb tcpip 5555" 这儿有apk,和...
对数据的拆解
07-25
一个正整数有可能可以被表示为 m(m>=2) 个连续正整数之和,如: 15 = 1 + 2 + 3 + 4 + 5 15 = 4 + 5 + 6 15 = 7 + 8 编写一个程序,输入一个正整数,然后找出符合这种要求的所有连续正整数序列,若不存在这种序列...
DBeaver基础使用
TYA_Saras的博客
07-19 2541
新建表: 右击数据库下的“表”,选择新建表 编辑表的列: 在表的属性界面右击,选择新建列
ObReferenceObjectByHandle
zacklin的专栏
05-09 2569
调用方传递给驱动程序的句柄不会经过 I/O 管理器,因此 I/O 管理器不对这类句柄执行任何验证检查。决不要假设一个句柄有效;始终确保句柄拥有正确的对象类型、对于所需任务的合适的访问权、正确的访问模式,并且访问模式与请求的访问兼容。 驱动程序应该谨慎使用句柄,特别是那些从用户模式应用程序接收到的句柄。第一,这种句柄特定于进程上下文,因此它们仅在打开句柄的进程中有效。当从不同的进程上下文或工作线程
ObReferenceObjectByName函数使用解析
u010799137的专栏
05-19 1536
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef__cplusplus extern"C" { #endif #include<NTDDK.h> NTKERNELAPI NTSTATUS ObReferenceObjectByName( INPUNI...
[转载]关于驱动中的ObReferenceObjectByName 和 IoGetDeviceObjectPointer
lerroy312的专栏
08-23 1240
原文:http://www.boxcounter.org/?action=show&id=13 前些阵子学写过滤驱动,遇到个问题,在网上找到了相应的资料,Blog下来。 我写的程序需要挂在文件系统上,我看《Programming the Windows Driver Model》中用IoGetDeviceObjectPointer来获取要挂载的驱动对象,于是我也采用了相同的方法,但是却发现始终
32位/64位WINDOWS驱动之windbg分析ObReferenceObjectByHandle取回进程句柄的过程
最新发布
a756598009的博客
07-16 611
windbg调试技巧逆向分析windbg访问断点dt查看结构指令windbg使用帮助参考 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/commands.cls 清屏ba r4 地址 //对地址下4字节访问断点。
unity5 关于反向查找物体被引用的方法
virgochen的专栏
08-18 2722
引用 by https://github.com/yasirkula/UnityAssetUsageDetector/ 马克下 using UnityEngine; using UnityEditor; using UnityEngine.SceneManagement; using UnityEditor.SceneManagement; using System.Collection
自己尝试还原的ObReferenceObjectByHandle
pureman_mega的博客
01-05 1173
ObReferencObjectByHandle()这个函数从字面上看就可以知道是通过句柄(Handle)来访问对象。还原的过程中对汇编语言强大又有了进一步的认识,其效率之高令人惊叹,每个寄存器的使用都是那么的精妙绝伦,相同或类似的功能的代码很少重复出现。效率高的代价就是可读性较差,和C代码相比就会表现出巨大的差异;但是对于那些比较熟悉这两种语言的高手来说,随意在两者之间切换应该不是什么问题,而我看
ObReferenceObjectByHandle例程
mofabang的专栏
11-18 3009
ObReferenceObjectByHandle例程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值