WIN7 64位之动态定位ObpRootDirectoryObjct

最新推荐文章于 2021-08-05 17:46:43 发布
最新推荐文章于 2021-08-05 17:46:43 发布
阅读量922 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37213846/article/details/82887043
版权
本文介绍了一种在内核中动态定位目录对象起始位置的方法。通过获取KdDebuggerDataBlock结构的地址,进一步找到ObpRootDirectoryObject,从而定位目录对象。文章详细解释了定位过程,并提供了具体步骤。
摘要由CSDN通过智能技术生成

一 .
关于内核目录对象的基础知识请了解其他作者写的博客,
此文只讲述如何动态定位目录对象的起始位置.
二 .
ObpRootDirectoryObject是内核中的一个地址,这个地址里面存放的第一个64位的数据就为目录对象的起始地址。
在这里插入图片描述
打红圈的是目录对象的起始地址,前面FFFFF80005675590就是ObpRootDirectoryObject的地址,那么如何在内核动态定位ObpRootDirectoryObject的地址呢?

三 .
通过寻找 KdDebuggerDataBlock结构来动态定位,所以要先获取到
KdDebuggerDataBlock结构的地址,这里我们用在函数的方式定位
①KeCapturePersistentThreadState函数(反汇编)
在这里插入图片描述
在这里插入图片描述
图中打红圈的就是KdDebuggerDataBlock结构的地址
②地址定位方法:我们首先获取到fffff800055d771c地址
(方法:fffff800’0563b120=fffff800’055d771c+000639fd+7)
四 .
得到KdDebuggerDataBlock结构的地址进行反汇编观察
在这里插入图片描述
打红圈的就是ObpRootDirectoryObject的地址
注意:KdDebuggerDataBlock结构是没有被定义(高手可以自行反汇编),我们可以把他想象成数组,每个数组元素都是ULONGLONG类型的,那么这个数组中的第20个数就是ObpRootDirectoryObject的地址。
Example:ULONGLONG *KdDebuggerDataBlock;
KdDebuggerDataBlock=KdDebuggerDataBlock的地址;
ObpRootDirectoryObject的地址=KdDebuggerDataBlock[19];

MZ先生
关注
ObQueryNameString一设计缺陷简述
chabaoNO1的专栏
07-18 2226
ObQueryNameString这个函数早就臭名远播啦,某文就说"这个函数的使用,在有些环境下会有问题。它的上层函数是 ZwQueryObject()。在某些情况下会导致系统挂起,或者直接 BSOD。它是从 对象管理器中的 ObpRootDirectoryObject开始遍历,通过 OBJECT_HEADER_TO_NAME_INFO 获得对象名称。今天问了下 PolyMeta好象是在处理 PIPE 时会挂启,这个问题出现在 2000 系统。在 XP 上好象补丁了。"而百度一下也多是问关于调用失败的问题,
设置64位的位置
weixin_34107739的博客
03-18 120
在“Build Setting”中将“Architectures”改成“Standard Architectures (including 64-bit)”。
Win7_64位动态查找API地址
06-05 263
#define _CRT_SECURE_NO_WARNINGS #include <stdio.h> #include <stdlib.h> #include <iostream> #include <windows.h> using namespace std; char shellcode[] = "\...
win7系统打开定位服务器地址,win7系统手动打开或关闭系统定位服务的步骤
weixin_39725650的博客
08-05 3723
win7系统使用久了,好多网友反馈说win7系统手动打开或关闭系统定位服务的问题,非常不方便。有什么办法可以永久解决win7系统手动打开或关闭系统定位服务的问题,面对win7系统手动打开或关闭系统定位服务的图文步骤非常简单,只需要1、从开始菜单打开“设置”应用,也可以通过其他方式打开设置”应用 2、设置选项中点击“隐私”就可以了。就可以解决win7系统手动打开或关闭系统定位服务的问题,针对此问题小...
动态获取API地址
小发猫
06-15 4292
cncpp 动态获取API地址是病毒界和密界中常用的程序设计技术Author: 属于中国破解组织 - xIkUg[BCG][DFCG][OCN][DCM][CZG]Date: 2004-07-28Email: xikug@163.comxIkUgs程序园: http://www.xp-program.comXP-极限编程: http://bbs.xp-program.com一点理论,Win32系
获取操作系统的内核基地址
weixin_33724046的博客
11-05 471
操作系统的内核模块根据处理器的个数和是否支持PAE(Physical Address Extension物理地址扩展)分为以下四种 ntoskrnl.exe ---Uniprocessor单处理器,不支持PAE ntkrnlpa.exe ---Uniprocessor单处理器,支持PAE ntkrnlmp.exe ---Multiprocess...
CAD2008 Win7 64位补丁
11-04
win7虽然支持大部分软件,但是有些专业软件是无法安装的,比如AutoCAD2008、Solidworks2008之前的版本,在win7上直接装的话,只能装64位的,这个方法可以解决在64位win7上安装32位的AutoCAD2008。 安装方法: 将...
南天pr2e 南天pr2 win7 64位 驱动 (OKI5330 LQ-1600K兼容经典驱动)
05-28
同事买一个二手打印机 蓝天PR2, 网站找半天发现官方不支持WIN764位,没办法拨打客服电话,建议用...EPSON LQ 1600k 南天 PR2E 打印机驱动程序 win7 WIN8 64位.zip 南天PR2_OKI5530 FOR 64 WIN7.rar 两款驱动足够用的了
win7 64位驱动程序数字签名补丁
10-11
关于win7 64位 驱动程序数字签名的问题,昨天研究了一个下午,总结如下: 1、开机按F8,选择禁止驱动程序签名强制。 2、以管理员身份运行cmd,输入gpedit.msc,进入组策略,选择用户配置-管理模块-系统-驱动程序安装...
SAM-BA Win7 64位驱动之系统文件:AT91 USB 串口
03-07
一直使用Jlink连接 SAM-BA 2.15,来烧写BootStrap Uboot Kernel等,因为使用USB Device,一直提示找不到硬件,或是无法安装驱动,因为我的系统是Win7 64位的,Atmel官方说SAM-BA 2.15已经支持Win7 64位了,为什么的...
64位 bootsect win7
09-23
win7 64位系统的安装修复以及装双系统所需的基本工具。
windows内核情景分析---内核对象
maomao171314的专栏
04-04 2176
写过Windows应用程序的朋友都常常听说“内核对象”、“句柄”等术语却无从得知他们的内核实现到底是怎样的, 本篇文章就揭开这些技术的神秘面纱。 常见的内核对象有: JobDirectory(对象目录中的目录)、SymbolLink(符号链接),Section(内存映射文件)、Port(LPC端口)、IoCompletion(Io完成端口)、File(并非专指磁盘文件)、同步对象(Mutex
四。目录对象结构(ObpLookupDirectoryEntry、ObpLookupObjectName) (二)
求索
02-16 4692
四。目录对象结构(ObpLookupDirectoryEntry、ObpLookupObjectName) (二)
第二十四课_遍历windows对象目录
05-18 1782
#include "ntddk.h" #define MAX_TABLE 37 #define MAX_OBJECT_COUNT 0x10000 typedef ULONG DEVICE_MAP; typedef ULONG EX_PUSH_LOCK; typedef struct _OBJECT_DIRECTORY_ENTRY{
Windows 文件过滤驱动经验总结
03-05 2868
作者:ai3000本文转载自驱动开发网看了 ChuKuangRen 的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少?只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种目的,一是引发一些讨论,好纠正自己错误的认识,以便从中获取更多的知识使自己进步的更快。二是做一份备忘,当自己遗忘
WIN7 x64 语音组件包
05-01
目前大多数GHOST WIN7系统都精简掉了语音识别组件,因本人安装一套门店管理系统需要语音叫号装了N多遍系统才制作而成,本工具从WIN7 x64原版系统提取,解压后运行regsvr.bat后即可完美恢复使用语音识别。
win7 64位 ramdisk
10-10
win7 64位ramdisk, 安装简便,详见内部说明
对象创建(ObCreateObject)和对象删除(ObDereferenceObject、ObpRemoveObjectRoutine)
08-13 1684
原文地址:http://uninformed.org/index.cgi?v=1&amp;a=5&amp;p=5   进程执行的临界时段是指在新的进程对象实例被nt!ObCreateObject创建 和该进程对象被nt!ObInsertObject插入到进程对象类型表之间的时段。在该时段尝试获取进程的句柄是不安全的,比如使用nt!ObOpenObjectByPointer。如果一个应用程序试...
redis笔记-共享对象
09-09 691
000
某驱动的内核调试检测学习内核调试引擎加载机制
04-08 1636
标 题: 【原创】某驱动的内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值