ObReferenceObjectByHandle() 函数简略分析

最新推荐文章于 2023-07-16 19:03:01 发布
最新推荐文章于 2023-07-16 19:03:01 发布
阅读量6k 收藏 4
点赞数 2
分类专栏: windows API

原文链接

1. 逆向出来的 ObReferenceObjectByHandle() 函数实现

这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是:

NTSTATUS
ObReferenceObjectByHandle(
IN HANDLE Handle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_TYPE ObjectType,
IN KPROCESSOR_MODE AccessMode,
OUT PVOID *Object,
OUT POBJECT_HANDLE_INFORMATION HandleInformation
);

这个函数的目的是:根据提供的 Handle 值得到 Object!

2. Handle 属于 kernel Handle 时

ObReferenceObjectByHandle() 会先判断 Handle 是否属于 kernel 级别的 Handle 值:

if ((LONG)Handle < 0)
{
// 属于 Kernel Handle
}
else
{
// 非 Kernel Handle

当 Handle < 0 时(即:bit 31 为 1),是表明属于 kernel 的 Handle 值,ObReferenceObjectByHandle() 会进一步判断:

  • Handle == -1(0xFFFFFFFF)时,属于当前 process Handle
  • Handle == -2(0xFFFFFFFE)时,属于当前 thread Handle

-1 与 -2 是两个伪 Handle 值,分别代表当前 KPROCESS 和 KTHREAD 结构的 Handle 值(注意:与 EPROCESS 及 ETHREAD 的区别)

2.1 Handle 属于当前 process Handle 值时

当 Handle == -1 时,它属于 process Handle。需要从 KPROCESS 结构(由 Thread->ApcState.Process 得到)查找到相关联的 EPROCESS 结构,从而得到相关信息。 如下图所示:

这里的处理逻辑是:

  • 得到 KPROCESS 指针: Process = Thread->ApcState.Process; 这个 Process 指向 EPROCESS 结构的 Pcb 域。
  • 得到 EPROCESS 结构地址:EProcess = CONTAINING_RECORD(Process, EPROCESS, Pcb); 根据这个 Pcb 来得到 EPROCESS 结构地址
  • 所需的权限:GrantedAccess = EProcess->GrantedAccess;
2.2 Handle 属于当前 thread Handle 值时

当 Handle == -2 时,它属于 thread Handle。直接从 Thread (由 fs:[124h] 得到)指针求得 ETHREAD 结构。Thread 指向 ETHREAD 结构的 Tcb 域。 如下图所示:

这里的处理逻辑是:

  • 得到 ETHREAD 结构地址:EThread = CONTAINING_RECORD(Thread, ETHREAD, Tcb); 根据 Tcb 来得到 ETHREAD 结构地址
  • 所需权限:GrantedAccess = EThread->GrantedAccess
2.3 能访问的权限

在上面两个图中的 ETHREAD 结构或 EPROCESS 结构得到的 GrantedAccess 值决定了允许访问的权限。从 ObReferenceObjectByHandle() 函数 的实现上看。

下面的情形是失败的:

if (((~GrantedAccess & DesiredAccess) != 0) && (AccessMode != KernelMode))
{
return STATUS_ACCESS_DENIED; // 权限不足
}

换个角度来说,也就是当:

if (((~GrantedAccess & DesiredAccess) == 0) || (AccessMode == KernelMode))
{
// 允许访问
}

上面的检查中是通过的!当访问模式为 KernelMode 或者权限符合时就允许访问。

那么:GrantedAccess 值设置了允许访问的权限位,通过权限位和访问者提供的权限比较是否符号。

2.4 返回 Object 值与 HandleInformation 信息

假如传递的参数 HandleInformation 不为 NULL 时,需要返回相关的 OBJECT_HANDLE_INFORMATION 结构信息。

if (HandleInformation != NULL)
{
HandleInformation->GrantedAccess = GrantedAccess;
HandleInformation->HandleAttributes = 0;
}

返回的 Object 值为 Thread(从 fs:[124h] 里得到的 KTHREAD 结构)。

3. Handle 是非 kernel Handle 时

当属于非 kernel Handle 时,先得到 HANDLE_TABLE 结构地址:

这个 EPROCESS 结构 Object 的获得方法是与 Kernel Handle 下当 Handle 属于 process Handle 时是一样的。

//
// 当前 handle >= 0 时:得到当前 EPROCESS 结构地址和 HANDLE_TABLE 结构
//
Process = Thread->>ApcState.Process;
EProcess = CONTAINING_RECORD(Process, EPROCESS, Pcb);
HandleTable = &EProcess->ObjectTable;

从 EPROCESS 结构的 ObjectTable 域来获得 HANLDE_TABLE 结构的地址值。

TableEntry = ExMapHandleToPointerEx(HandleTable, Handle, AccessMode);

在后续的代码里将调用 ExMapHandleToPointerEx() 函数来得到 TableEntry 值。

而 ExMapHandleToPointerEx() 函数内部最终将调用 ExpLookupHandleTableEntry() 函数,在 HandleTable 里根据 Handle 值来找到 TableEntry(HANDLE_TABLE_ENTRY 结构)值。

关于 ExpLookupHandleTableEntry() 函数如何工作,请参考另一篇文章:ExpLookupHandleTableEntry() 函数分析

3.1 HANDLE_TABLE_ENTRY 结构

在得到的 TableEntry 指针找到 HANDLE_TABLE_ENTRY 结构,如下图所示:

HANDLE_TABLE_ENTRY 结构实际上只有两个域 8 个 bytes,其中 Object 值经过计算得到指向 OBJECT_HEADER 结构的指针 ObjectHeader。

如下面代码所示:

ObjectHeader = (POBJECT_HEADER )((ULONG)TableEntry->Object & 0xFFFFFFF8);

后续代码将对 OBJECT_HEADER 结构的两个重要成员进行处理:

  • 增加 Object 的引用计数,如下面代码所示:

    InterlockedIncrement(ObjectHeader->PointerCount); // 增加 object 计数

  • 最终会返回 Body 地址作为 Object 指针值,如下面代码所示:

    *Object = &ObjectHeader->Body; // ObjectHeadler 的 Body 域作为 Object 参数值返回

HANDLE_TABLE_ENTRY 结构的 GrantedAccess 域,是允许访问的权限(见前面所述)

小猪背书包
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
inline hook ObReferenceObjectByHandle 程序代码
05-25
windows 驱动层,inline hook 简单的示例程序。其实是看了“详谈内核三步走Inline Hook实现“,网上的一篇文章做的一个示例程序,只做了第一个, hook ObReferenceObjectByHandle.里面还有一个说明文件。我想这可以作为inline hook 的入门,找找感觉。
自己尝试还原的ObReferenceObjectByHandle
pureman_mega的博客
01-05 1173
ObReferencObjectByHandle()这个函数从字面上看就可以知道是通过句柄(Handle)来访问对象。还原的过程中对汇编语言强大又有了进一步的认识,其效率之高令人惊叹,每个寄存器的使用都是那么的精妙绝伦,相同或类似的功能的代码很少重复出现。效率高的代价就是可读性较差,和C代码相比就会表现出巨大的差异;但是对于那些比较熟悉这两种语言的高手来说,随意在两者之间切换应该不是什么问题,而我看
ObReferenceObjectByHandle内核函数
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-07 1498
大槪就是看这个句柄是当前进程的句柄还是当前线程的句柄,最后再看看这AccessMode是内核还是用户态下,内核的话,句柄表就用ObpKernelHandleTable,用户态的话就用当前进程的句柄表 NTSTATUS ObReferenceObjectByHandle (     __in HANDLE Handle,     __in ACCESS_MASK DesiredAccess,
驱动开发:内核中进程与句柄互转
Gefangenes的博客
07-02 146
在Windows内核中,该函数接受一个指向对象的指针(这里为EProcess结构体的指针),以及所需的访问权限和对象类型,并返回对应的。内核函数,传入进程句柄和信息类别作为参数,函数返回有关指定进程的信息,包括进程PID。内核函数,传入PID作为参数,函数返回对应进程的句柄HANDLE函数打开进程,如果函数执行成功,将返回进程句柄HANDLE,否则返回NULL。此函数会将返回的句柄添加到当前进程的句柄表中,因此在使用完毕后,需要使用。函数查询进程基本信息,如果函数执行成功,将返回进程PID,否则返回0。
ObReferenceObjectByHandle
zacklin的专栏
05-09 2566
调用方传递给驱动程序的句柄不会经过 I/O 管理器,因此 I/O 管理器不对这类句柄执行任何验证检查。决不要假设一个句柄有效;始终确保句柄拥有正确的对象类型、对于所需任务的合适的访问权、正确的访问模式,并且访问模式与请求的访问兼容。 驱动程序应该谨慎使用句柄,特别是那些从用户模式应用程序接收到的句柄。第一,这种句柄特定于进程上下文,因此它们仅在打开句柄的进程中有效。当从不同的进程上下文或工作线程
32位/64位WINDOWS驱动之windbg分析ObReferenceObjectByHandle取回进程句柄的过程
a756598009的博客
07-16 602
windbg调试技巧逆向分析windbg访问断点dt查看结构指令windbg使用帮助参考 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/commands.cls 清屏ba r4 地址 //对地址下4字节访问断点。
ObReferenceObjectByHandle例程
mofabang的专栏
11-18 3009
ObReferenceObjectByHandle例程
Windows内核的分析.pdf
10-09
`ObReferenceObjectByName`和`ObReferenceObjectByHandle`等函数用于根据名称或句柄获取对象的引用,而`ObDereferenceObject`则在不再需要对象时减少引用计数,当计数为零时,对象会被释放。 命名对象允许进程间...
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
4.5.1 ObReferenceObjectByHandle() 179 4.5.2 ObReferenceObjectByPointer() 187 4.5.3 ObpLookupEntryDirectory() 188 4.5.4 ObpLookupObjectName() 192 4.5.5 ObOpenObjectByName() 209 4.5.6 ...
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
Dissecting the Windows Kernel - 关于ObReferenceObjectByHandle中对句柄的处理
StanfordZhang的专栏
11-18 4425
Dissecting the Windows Kernel -   关于ObReferenceObjectByHandle中对句柄的处理 一、   摘要 在开发一个 Anti-Rootkit工具中的枚举进程句柄时,发现枚举System Process进程的句柄信息在Windows XP和Windows 7/8的处理细节有一些不一样,遂想刨根问底,一探究竟。在获取句柄对象名和类型名的时候都会使
函数......ObReferenceObjectByHandle
天蓝的专栏
12-10 6161
ObReferenceObjectByHandle函数来获得这个Handle对应的FileObject。我们只能给FileObject发送IRP。 stat=ObReferenceObjectByHandle(handle,GENERIC_READ,*IoFileObjectType,KernelMode,(PVOID*)&fileob,0);ObReferenceObjectByHandle(
ObReferenceObjectByHandle() 源代码分析
kernweak的博客
12-20 423
首先代码有两篇文章阅读后就懂得差不多了 https://blog.csdn.net/qq_21000273/article/details/53966150 https://bbs.pediy.com/thread-181544.htm 下面是加了注释的代码,wrk中的 NTSTATUS ObReferenceObjectByHandle ( __in HANDLE Handle...
深入理解句柄表
rongwenbin的专栏
02-26 3559
设计到句柄表的有以下这些概念 HANDLE_TABLE HANDLE_TABLE结构体中的TableCode变量 实际上啊,TableCode是指向句柄表项第一个句柄表项的指针(NULL句柄表项) TableCode就是HANDLE_TABLE_ENTRY的指针 但是,当有两级以上表时,这个时候就不是了,先来搞定最简单的。 HANDLE_TABLE_ENTRY:句柄表项 对象头_OB
用户句柄表的遍历
Mikasys的博客
10-20 558
私有句柄表 _HANDLE_TABLE_ENTRY的Object直接指向_OBJECT_HEADER不用减 #include <ntifs.h> //一个页最大容纳的_HANDLE_TABLE_ENTRY #define MAX_ENTRY_COUNT (0x1000/sizeof(HANDLE_TABLE_ENTRY)) //未公开未文档化 typedef PVOID(NTAPI *OBGETOBJECTTYPE)(IN PVOID pObject); EXTERN_C NTKERNE
HANDLE-->HANDLE_TABLE_ENTRY
SUNE__学无止境
12-16 771
0
windbg学习笔记 FOR 内核调试(三) --进程句柄表HANDLE_TABLE
tomorrowsprogress的专栏
08-24 1730
windbg学习笔记 FOR 内核调试(三) --进程句柄表HANDLE_TABLE                                       想当年 初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉 死命在想到底内核对象 , 句柄是个什么东西 干嘛用的 于是我们工作室的老大就对我说 这篇看过就过了 学到后面你自然会明白的     我想也是 ,
obreferenceobjectbyhandle
最新发布
09-06
obreferenceobjectbyhandle是一个函数,用于通过句柄来获取对象的引用。 在编程中,对象通常通过在内存中分配空间来创建,并且可以通过指针来引用。句柄是一个抽象的数据类型,用于标识或引用内存中的对象,它可以被用于在不直接访问指针的情况下对对象进行操作。obreferenceobjectbyhandle函数就是用于通过句柄来获取对象的引用。 这个函数的作用是根据给定的句柄,从系统中获取句柄所对应的对象的引用。它可以用于检索之前创建的对象,以便在程序中继续使用它。 使用obreferenceobjectbyhandle函数需要提供一个句柄作为参数,并且该句柄必须是之前通过其他函数或方法获取到的。如果句柄有效且对应的对象存在,该函数将返回对象的引用,以便在程序中使用。如果句柄无效或对应的对象不存在,函数可能会返回一个空值或者抛出异常。 该函数在编程中经常用于操作句柄对象的场景,比如在一些图形界面框架中,可以使用该函数来获取窗口、按钮等控件的引用,以便对其进行操作。 总之,obreferenceobjectbyhandle函数是一个根据句柄获取对象引用的函数。它使得在编程中可以更方便地操作句柄对应的对象,提高了代码的可读性和易用性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值