NTCreateDEbugOBject for win8..1

最新推荐文章于 2021-07-23 22:12:44 发布
最新推荐文章于 2021-07-23 22:12:44 发布
阅读量1.4k 收藏
点赞数
分类专栏: 逆向 windwos内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18942885/article/details/45311273
版权
这段代码展示了如何在Windows 8.1上创建调试对象(Debug Object),通过调用ObCreateObject函数并初始化相关内存结构。代码中进行了适当的优化,减少了硬编码,并附带了调试过程的说明。
摘要由CSDN通过智能技术生成


这个代码可以在WIN8.1上面跑的  测试成功 自己测试的时候呢 把ObInsertObjectEx,DbgkDebugObjectType替换一下 最后用符号连接就完美了
这个不像昨天的那个伪代码 这个可以跑的 我跟着调试了一遍代码也是没有用IDA了  IDA太坑
优化一下函数 减少一个硬编码  现在只有一个dbgobjecttype了
NTSTATUS NTCreateDebugObject(OUT PHANDLE DebugObjectHandle,
 IN ACCESS_MASK DesiredAccess,
 IN POBJECT_ATTRIBUTES ObjectAttributes,
 IN ULONG Flags){
  typedef NTSTATUS (__stdcall *OBCREATEOBJECT)(
   __in KPROCESSOR_MODE ProbeMode,
   __in POBJECT_TYPE ObjectType,
   __in POBJECT_ATTRIBUTES ObjectAttributes,
   __in KPROCESSOR_MODE OwnershipMode,
   __inout_opt PVOID ParseContext,
   __in ULONG ObjectBodySize,
   __in ULONG PagedPoolCharge,
   __in ULONG NonPagedPoolCharge,
   __out PVOID *Object
   );
  PHANDLE handle;
  UNICODE_STRING usFuncName;
  KPROCESSOR_MODE PreviousMode;
  OBCREATEOBJECT ObCreateObject;
  POBJECT_TYPE DebugObject;
  POBJECT_TYPE DbgkDebugObjectType=(POBJECT_TYPE)0x84939eb0  ;
 
  NTSTATUS status;
  RtlInitUnicodeString(&usFuncName,L"ObCreateObject");
  ObCreateObject = MmGetSystemRoutineAddress(&usFuncName);
  PreviousMode=ExGetPreviousMode();
  if (PreviousMode==KernelMode)
  {
   return STATUS_INVALID_PARAMETER;
  }
  if (Flags & 0xFFFFFFFE)
  {
   return STATUS_INVALID_PARAMETER;
  }
 

  status= ObCreateObject(PreviousMode,DbgkDebugObjectType,ObjectAttributes,PreviousMode,NULL,0x3c,0, 0,(PVOID)&DebugObject);
  if (!NT_SUCCESS(status))
  {
   return status;
  }
  *(ULONG*)((ULONG)DebugObject+0x10)=1;
  *(ULONG*)((ULONG)DebugObject+0x14)=0;
  *(ULONG*)((ULONG)DebugObject+0x18)=0;
  
    KeInitializeEvent((PRKEVENT)((ULONG)DebugObject+0x1c),1,0);
     
  *(ULONG*)((ULONG)DebugObject+0x30+4)= ((ULONG)DebugObject+0x30);
   *(ULONG*)((ULONG)DebugObject+0x30)=((ULONG)DebugObject+0x30);
    KeInitializeEvent((PRKEVENT)DebugObject,0,0);
    *(ULONG*)((ULONG)DebugObject+0x38)=2;
  
     status= ObInsertObject(DebugObject,NULL,DesiredAccess,0,NULL,&handle);
     if (!NT_SUCCESS(status))
     {
      return status;
     }
    KdPrint(("handle %X",handle));
    *(ULONG*)DebugObjectHandle=handle;

    return 0;
    


  
}


qq_18942885
关注
专栏目录
逆WIN7X64内核调试之NTCreateDebugObject
落笔飞花笑百生的博客
09-28 3329
NTSTATUS __fastcall proxyNtCreateDebugObject(         OUT PHANDLE DebugObjectHandle,         IN ACCESS_MASK DesiredAccess,         IN POBJECT_ATTRIBUTES ObjectAttributes,         IN ULONG Flags  
1.调试对象
My classmates
11-01 1080
将一个程序拖拽进OD中,这种方式是通过 CreateProcess() 建立联系的。 程序正在运行中通过OD附加程序,这种方式是通过 DebugActiveProcess() 建立联系的。 DebugActiveProcess执行流程 <1> kernel32! DbaUiConnectToDbg() ntdll! DbgUiConnectToDbg() ntdll! ZwC...
Windows内核分析——内核调试机制的实现(NtCreateDebugObject、DbgkpPostFakeProcessCreateMessages、DbgkpPostFakeThreadMes...
weixin_30622181的博客
03-31 498
本文主要分析内核中与调试相关的几个内核函数。 首先是NtCreateDebugObject函数,用于创建一个内核调试对象,分析程序可知,其实只是一层对ObCreateObject的封装,并初始化一些结构成员而已。 我后面会写一些与window对象管理方面的笔记,会分析到对象的创建过程。 来自WRK1.2 NTSTATUS NtCreateDebugObject ( OUT P...
180310 逆向-反调试技术(3)DebugObject
whklhhhh的博客
03-23 745
1625-5 王子昂 总结《2018年3月10日》 【连续第525天总结】 A. 反调试技术(3) B. DebugObject 之前都是从被调试进程入手找痕迹,除此以外调用了DebugAPI的调试器必然要向系统进行声明注册,因此从调试器一边寻找痕迹也是可行的 调试器与被调试程序建立关系有两种途径 在创建进程时设置DEBUG_PROCESS 调用DebugActiveP...
createDebug_内核逆向_自建调试体系_
10-01
自建调试体系
Windows NT内核函数大全
qq_42577465的博客
06-06 1693
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
windowsNt内核函数大全.doc
最新发布
05-15
- **NtCreateDebugObject**:创建一个调试对象,该对象可以用于跟踪和管理调试会话。 - **NtDebugActiveProcess**:使调试器附着到一个正在运行的进程,并对其进行调试。 - **NtDebugContinue**:允许调试器继续...
Nt内核函数大全[文].pdf
10-11
NtCreateDebugObject函数:该函数用于创建调试对象,参数包括调试对象的类型和相关参数等信息。返回值为NTSTATUS类型,表示操作的结果。 NtDebugActiveProcess函数:该函数用于使调试器附加到一个进程,并调试它,...
[转载] 关于Win7 x64下过TP保护的一些思路,内核层过保护,驱动过保护
墨鱼菜鸡
09-25 634
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了。在他的教程里我学到了不少东西。第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护。如果有讲错的地方,还望指出。说不定我发帖后一星期TP就会大更新呢。打字排版好辛苦。先说说内核层,看大家的反应后再说说应用层的保护。(包括解决CE非法问题)调试对象:DXF调试工具:OD、Windbg调试环境:Win7 SP1 X6...
Windows软件调试学习笔记(一)—— 调试对象
qq_41988448的博客
07-01 1123
软件调试学习笔记(一)—— 调试对象
dbgk(国外的三篇win调试机制的分析教程)
08-26
关于windows提高的调试机制以及反调试手段的详细介绍。注意英文版。
PP保护4:DbgkpProcessDebugPortMutex与DbgkDebugObjectType
netword12345的专栏
03-05 1589
PP保护对DbgkpProcessDebugPortMutex进行了处理,在其count里不停写入100,造成的后果就是OD一打开,就卡死了. PP保护还会遍历OBJECT,如果发现存在有DEBUG_OBJECT类型的OBJECT,就直接重启了。 所以要处理它们,处理互斥体的是这样的,自己申请一段内存,放在PP保护写入的地址处,然后把真正的MUTEX释放掉就OK了: 处理DbgkDebug
每天一个npm包 之 debug
huangyangquan3的博客
07-23 1110
每天一个npm包 之 debug 每天一个npm包 之 debug 介绍: 毫秒之差 通配符* 环境变量 格式化 自定义格式 对浏览器的支持 对debug进行扩展 动态设置 检查调试目标是否已启用 兴趣源码阅读 如何判断是浏览器环境还是nodeJs环境呢? 浏览器环境 / nodeJs环境 底层的打印是使用什么实现的呢? 每一条打印出来的log, 后边都会随着一个时间,这个时间是怎么计算出来的呢? 格式化是怎么现实的呢? 格式化的扩展是怎么实现的呢? 参考: 社交信息 / Social
DebugAPI 调试?
小喂的专栏
05-04 1910
利用 DebugAPI 调试程序时,系统通过 DbgkForwardException 函数给调试器发送异常等消息。DbgkForwardException 函数又会调用 DbgkpSendApiMessage 函数给调试对象发送调试消息。DbgkpSendApiMessage 再调用 DbgkpQueueMessage 函数把调试消息插入到调试对象的事件队列里面,插入前先获取一个 DbgkpPr
绕过DebugPort清零自建调试体系
haodawei123的博客
03-16 3101
g_DebugPort是个全局变量通过NtCreateDebugObject来创建,在进程的回调句柄里面,然后将
关于Win7 x64下过TP保护(内核层)(转)
weixin_30819085的博客
07-21 652
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了。在他的教程里我学到了不少东西。第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护。如果有讲错的地方,还望指出。说不定我发帖后一星期TP就会大更新呢。打字排版好辛苦。先说说内核层,看大家的反应后再说说应用层的保护。(包括解决CE非法问题)调试对象:DXF调试工具:OD、Windbg调试环境:Win7 SP1 X64...
hook
ReversalC的专栏
10-14 1197
KiFastcallEntry路过各函数hook. SwapContext路过IDT/GDT hook. OD附加发现卡死.DbgkpProcessDebugPortMutex其中几字节被改.自已创建一个,hook几个函数使用新的搞定. OD再次附加发现下断卡死,线程被隐藏,直接xxx. OD附加模块窗口如果出现模块不断加载卸载是因为还有四个四个字节的hook,直接xxoo就好了.
Win7x64系统过TP的一些尝试和目前遇到的问题
04-08 2442
其实渣新学内核编程不过半个月时间,帖中难免有幼稚的想法和错误,遇到的问题我会用蓝色文字表述,还请各位前辈指正,感激不尽! 我把自己目前的进展和遇到的问题一起说说吧: x64系统过TP大概分两步,首先要过双机调试,然后要过应用层调试。 1、过双机调试,这里也分两步 (1)首先要保证debug模式下启动游戏不蓝屏。 我也是第一次研究TP,对这之前的保护不了解,不过看网上所说这个启
DEBUG OBJECT key
weixin_33736649的博客
03-01 457
DEBUG OBJECT是一个不应该被客户端使用的调试命令。 请参考OBJECT命令 simple-string-reply 本文作者:陈群 本文来自云栖社区合作伙伴rediscn,了解相关信息可以关注redis.cn网站。 ...
内核开发宝典:全面解读Nt内核函数
1. **服务控制管理**: - NtLoadDriver:用于服务控制管理器加载设备驱动程序,确保系统能够识别和使用硬件设备。 - NtUnloadDriver:允许服务控制管理器卸载已注册的驱动程序,释放其占用的系统资源。 2. **驱动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值