记一次WIN7 64位的内核对象类型分析之获取(二)

最新推荐文章于 2024-06-18 22:22:50 发布
最新推荐文章于 2024-06-18 22:22:50 发布
阅读量670 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37213846/article/details/82851296
版权

一 . 前言
对象类型是以数组的形式存放在内存中,所以获取对象类型首先得定位到存放对象类型数组的表的位置。
二 . WINDBG下查找对象类型数组表
通过在windbg反汇编ObGetObjectType函数得到
在这里插入图片描述
图中ObTypeIndexTable就是存放对象类型的数组表起始地址 fffff80005638100
在这里插入图片描述
对象类型从数组第三个元素开始。

三 . (一)VC获取对象类型的地址(驱动部分)
①先获取ObGetObjectType函数的地址
RtlInitUnicodeString(&funcName, L"ObGetObjectType");
funcAddress = MmGetSystemRoutineAddress(&funcName)
②定位ObTypeIndexTable
注意:在win7 64位中ObTypeIndexTable的地址获取跟32位不一样
在这里插入图片描述
ObTypeIndexTable的地址=fffff80005763f40+ffed41b9+7
(fffff80005763f40:函数这行的起始地址
7:这行指令的字节数48 8d 0d b9 41 ed ff
ffed41b9:为字节指令的最后四个字节(倒序原因是计算机内部大小端排序)

)
得到上述的ObTypeIndexTable的地址在与(&)上0xfffffff0ffffffff才是真正的ObTypeIndexTable(因为做加法运算存在进位的问题)
在这里插入图片描述
在这里插入图片描述
上诉代码获取ObTypeIndexTable的地址并把每个元素都复制给Result数组
接下来分析下驱动中的READ派遣函数因为用户将从此派遣函数中得到Result数组中的值。
在这里插入图片描述
详情请了解驱动与用户层通信的方式(这里才用的是缓存方式的读写)
③创建设备并绑定符号链接(供用户层通信)
在这里插入图片描述
三(二)VC获取对象类型的地址(用户层部分)
在这里插入图片描述

MZ先生
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
无硬编码获取所有对象类型地址
zhuhuibeishadiao
05-02 2014
NTKERNELAPI PVOID NTAPI ObGetObjectType( IN PVOID pObject ); void GetObjectTypeWin7x86() { BOOLEAN i = 2; ULONG j= 2; ULONG64 ObjectType; // while (ObGetObjectType(&i+0xC)) {
Win64 驱动内核编程-14.回调监控文件
天使也掉毛
03-12 3698
回调监控文件     使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视。但可惜只能在 WIN7X64 上用。因为在 WIN7X64 上 PATCH 对象结构的成员(ObjectType->TypeInfo.SupportsObjectCallbacks)是合法的,在 WIN8X64 以及之后系统上会触发 PATCHGUARD。
遍历Windows内核ObjectType
时空之中的灵魂
07-18 941
遍历Windows内核ObjectType
Win7 Object_Header之TypeIndex解析,ObGetObjectType使用
求索
03-01 2390
在暴力搜索内存进程对象反隐藏进程这篇文章中,我们提到: Object Header偏移0×008处Type成员为对象类型值,相同类型对象具有相同的值.  自Window  7开始, _OBJECT_HEADER及其之前的一些结构发生了变化.  lkd> dt _object_header nt!_OBJECT_HEADER +0×000 PointerCount      : I
ObTypeIndexTable 在win7x86 和win10x64对比
最新发布
weixin_43751677的博客
06-18 235
_ObTypeIndexTable全局数组的使用
一次WIN7 64位内核对象类型分析(一)
qq_37213846的博客
09-23 752
一次WIN7 64位内核对象类型分析(一) 一.前言 windows内核对象:比如进程对象,线程对象。文件对象,驱动对象 内核对象是系统地址空间中的一个内存块,由系统创建并维护,内存对象是一个数据结构存放的,维护着与对象相关的信息(如计数器)。内核对象内核所拥有,而不为进程所拥有,所以不同进程可以访问同一个内核对象 每一种内核对象的结构都分为对象头和对象实体(不同的内核对象拥有相同的对象头结...
04内核-驱动对象
weixin_30954607的博客
08-28 213
驱动对象驱动程序:就是一个.sys模块, 驱动对象:则是.sys被加载到内核中的实例化出来的对象, 用于表示这个驱动模块.Windows内核使用DRIVER_OBJECT结构体来描述一个驱动对象.虽然Windows内核源码使用C语言编写, 但也使用了面向对象的思想. 在面向对象思想中, 有父类, 抽象类,纯虚函数的概念, 纯虚函数就是一个类中无须定义的虚函数. 拥有这个函数的类被称为抽象...
C++x64内核保护进程源码_保护进程_x64内核保护进程_进程保护_进程保护c++
08-09
在IT领域,尤其是在系统安全和程序保护方面,"C++ x64内核保护进程源码"是一个重要的主题。这涉及到使用C++编程语言,在64位操作系统内核层面对进程进行保护的技术。下面我们将详细探讨这个主题的相关知识点。 1. *...
获取硬盘序列号Delphi7(win7xp 测试成功)
04-22
在Delphi 7中,我们可以利用其强大的类型系统和面向对象特性,封装这些复杂的操作,使其更易于理解和使用。虽然上述示例代码仅适用于Windows 7和XP,但同样的原理可以应用于更现代的Windows版本,只是可能需要更新或...
winsdk debugger 下载器
07-29
"winsdk debugger 下载器"显然是一款针对Windows 7平台的WinDbg下载工具。 在Windows 7环境下,Debugging Tools for Windows 提供了以下关键功能和知识点: 1. **WinDbg**:WinDbg是最主要的调试工具,支持内核...
脚本引擎内核源代码之:Lua-5.1
02-03
《脚本引擎内核源代码之:Lua-5.1》是关于编程语言 Lua 的一个专深主题,主要关注其5.1版本的内核源代码。Lua 是一种轻量级、高性能、可嵌入式的脚本语言,广泛应用于游戏开发、系统管理、配置文件等多种场景。本文...
win32 自作内核的简单浏览器
08-17
【标题】"win32 自作内核的简单浏览器"所涉及的知识点主要集中在Windows操作系统下的编程技术,尤其是Win32 API的运用以及浏览器的基本架构。Win32 API是Microsoft Windows操作系统提供的一系列函数库,它允许开发者...
28.探秘_OBJECT_TYPE结构
qq_35129925的博客
08-03 1439
首先,每个进程/线程对象上面都有个_OBJECT_HEADER结构,而句柄结构在这个结构的后面,64位下这个结构大小为0X30 以进程结构体举例: nt!_OBJECT_HEADER +0x000 PointerCount : Int8B +0x008 HandleCount : Int8B +0x008 NextToFree : Ptr64 Void +0x010 Lock : _EX_PUSH_LOCK +0x018 T
遍历驱动类型
09-30 356
#include"ntifs.h" typedef VOID(__stdcall FUNCT_00A4_0EDA_DumpProcedure) (VOID*, struct _OBJECT_DUMP_CONTROL*); typedef LONG32(__stdcall FUNCT_000F_0EE2_OpenProcedure) (enum _OB_OPEN_REASON, CHAR, st...
x64 Global HANDLE 全局句柄表
Mikasys的博客
10-20 830
全局句柄表 0: kd> dq PspCidTable fffff800`04070408 fffff8a0`00004880 00000000`00000000 fffff800`04070418 ffffffff`80000020 00000000`00000101 fffff800`04070428 ffffffff`80000298 ffffffff`80000024 fffff800`04070438 00000000`00000000 00000000`00000113 fffff
Win7 OBJECT_HEADER之TypeIndex解析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1273
Win7 OBJECT_HEADER之TypeIndex解析 2010年08月09日 13:30 在Windows系统的对象管理中,为了能够从对象获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里,这个表叫做ObTypeIndexTa
Windows句柄表学习笔
zfdyq
10-17 2094
遍历系统进程有一种方法就是通过解析句柄表来遍历,于是学习了一下Windows句柄表。 句柄表位于EPROCESS结构的+0x0f4 偏移处(win7x86),先来看一下句柄表的结构: kd> dt 0x83d58fc0 _HANDLE_TABLE nt!_HANDLE_TABLE +0x000 TableCode : 0x94bac001 //句柄表 +0x0
X64下的解析句柄表
zfdyq
12-07 3480
一:X64下的句柄表的查找: 关于PspCidTable的寻找,我是通过PsLookupProcessByProcessId查找特征码寻找pspCidTable和32位没什么区别。 疑问:我想在KPCR中的KdVersionBlock中寻找,但是64位系统不知道为什么总是NULL,各位牛牛知道的求科普~ 寻找PspCidTable: SIZE_T FindCidTable() { SI
内核对象HOOK
weixin_45050926的博客
02-03 320
内核对象HOOK 内核对象的结构 首先我们来了解一下内核对象的基本结构,每一个内核对象都是由对象头和对象体组成,对象头都是一样的,对象体 不同的内核对象是不一样的。该结构体请参考内核结构体。 //0x20 bytes (sizeof) struct _OBJECT_HEADER { LONG PointerCount; ...
Win64驱动内核编程环境搭建与调试指南
"天使也掉毛 Win64 驱动内核编程" 是一本关于64位Windows驱动程序开发的教程资源,由作者“天使也掉毛”在CSDN博客上分享。这本书或教程主要涵盖了驱动开发的基础到进阶内容,特别是针对Win64平台的内核编程技术。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值