通过ObReferenceObjectByHandle了解进程句柄三张表

已于 2022-04-11 23:32:42 修改
阅读量924 收藏
点赞数
文章标签: 安全 驱动开发
于 2022-04-05 21:16:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41610493/article/details/123976995
版权

1.获取句柄结构

第一步在代码中加入断点,并运行到断点出
在这里插入图片描述
第二步进入按F11跟进ObReferenceObjectByHandle后在跟进ObpReferenceObjectByHandleWithTag
在这里插入图片描述
在这里插入图片描述
查看300行汇编代码,保存到nodepad++
在这里插入图片描述
用notepad++检索ObpKernelHandleTable查看,进程结构共有三处,说明有三张表。2在第一张表处加断点,并按g执行到该断点处。
在这里插入图片描述
验证寄存器保存的地址是否是正确的进程表结构。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
4.查看_HANDLE_TABLE
在这里插入图片描述

2.查看句柄拿来干什么了

1.OBJECT_HANDLE_INFORMATION->GrantedAccess保存了权限信息,我们需要获得在哪里取得的这个权限信息。ba r4 info+4:在读取info+4的4字节处下断点最后会反推出三张表。反汇编代码如下

1: kd> u rip l 300
fffff805`4a4cee3e 53              push    rbx
fffff805`4a4cee3f 55              push    rbp
fffff805`4a4cee40 57              push    rdi
fffff805`4a4cee41 4154            push    r12
fffff805`4a4cee43 4155            push    r13
fffff805`4a4cee45 4157            push    r15
fffff805`4a4cee47 4883ec58        sub     rsp,58h
fffff805`4a4cee4b 654c8b3c2588010000 mov   r15,qword ptr gs:[188h]
fffff805`4a4cee54 488be9          mov     rbp,rcx
fffff805`4a4cee57 4c8ba424b8000000 mov     r12,qword ptr [rsp+0B8h]
fffff805`4a4cee5f 33c9            xor     ecx,ecx
fffff805`4a4cee61 4c8bac24c8000000 mov     r13,qword ptr [rsp+0C8h]
fffff805`4a4cee69 498bd8          mov     rbx,r8
fffff805`4a4cee6c 888c24b8000000  mov     byte ptr [rsp+0B8h],cl
fffff805`4a4cee73 498bbfb8000000  mov     rdi,qword ptr [r15+0B8h]
fffff805`4a4cee7a 4889bc2490000000 mov     qword ptr [rsp+90h],rdi
fffff805`4a4cee82 49890c24        mov     qword ptr [r12],rcx
fffff805`4a4cee86 4d85ed          test    r13,r13
fffff805`4a4cee89 0f8585030000    jne     nt!ObpReferenceObjectByHandleWithTag+0x3e4 (fffff805
最低0.47元/天 解锁文章
华阙之梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
inline hook ObReferenceObjectByHandle 程序代码
05-25
windows 驱动层,inline hook 简单的示例程序。其实是看了“详谈内核三步走Inline Hook实现“,网上的一篇文章做的一个示例程序,只做了第一个, hook ObReferenceObjectByHandle.里面还有一个说明文件。我想这可以作为inline hook 的入门,找找感觉。
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
ObReferenceObjectByHandle内核函数
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-07 1499
大槪就是看这个句是当前进程的句还是当前线程的句,最后再看看这AccessMode是内核还是用户态下,内核的话,句就用ObpKernelHandleTable,用户态的话就用当前进程的句 NTSTATUS ObReferenceObjectByHandle (     __in HANDLE Handle,     __in ACCESS_MASK DesiredAccess,
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 6087
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
ObReferenceObjectByHandle例程
mofabang的专栏
11-18 3012
ObReferenceObjectByHandle例程
函数......ObReferenceObjectByHandle
天蓝的专栏
12-10 6164
ObReferenceObjectByHandle函数来获得这个Handle对应的FileObject。我们只能给FileObject发送IRP。 stat=ObReferenceObjectByHandle(handle,GENERIC_READ,*IoFileObjectType,KernelMode,(PVOID*)&fileob,0);ObReferenceObjectByHandle(
Windows内核的分析.pdf
10-09
`ObReferenceObjectByName`和`ObReferenceObjectByHandle`等函数用于根据名称或句获取对象的引用,而`ObDereferenceObject`则在不再需要对象时减少引用计数,当计数为零时,对象会被释放。 命名对象允许进程间...
详谈内核的Inline Hook实现.pdf
07-02
通过Hook此函数,可以实现对进程的保护,例如阻止进程终止或创建。 **核心代码示例**: ```c // 保存原始函数前五个字节 BYTE OriginalBytes[5]; // 跳转到HOOK函数的地址 BYTE JmpAddress[5] = {0xE9, 0, 0...
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
本书通过分析ReactOS的源代码介绍了Windows内核各个方面的结构、功能、算法与具体实现。全书从“内存管理”、“进程”、“进程间通信”、“设备驱动”等多个方面进行分析介绍,所有的分析都有ReactOS的源代码(以及...
(转) ObReferenceObjectByHandle 的使用
weixin_30693183的博客
12-28 939
http://blog.sina.com.cn/s/blog_62a630640100gost.html NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType, IN KPRO...
ObReferenceObjectByHandle
zacklin的专栏
05-09 2577
调用方传递给驱动程序的句不会经过 I/O 管理器,因此 I/O 管理器不对这类句执行任何验证检查。决不要假设一个句有效;始终确保句拥有正确的对象类型、对于所需任务的合适的访问权、正确的访问模式,并且访问模式与请求的访问兼容。 驱动程序应该谨慎使用句,特别是那些从用户模式应用程序接收到的句。第一,这种句特定于进程上下文,因此它们仅在打开句进程中有效。当从不同的进程上下文或工作线程
ObpReferenceProcessObjectByHandle 学习
stecdeng的专栏
05-23 848
NTSTATUS ObpReferenceProcessObjectByHandle (     IN HANDLE Handle,     ......        OUT PVOID *Object,     ......         )    {      //获取当前线程     Thread = PsGetCurrentThread ();     *Object
简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行
06-24 1267
作 者: Sysnap时 间: 2008-05-30,19:16链 接: http://bbs.pediy.com/showthread.php?t=65731// ***************************************************************//  Author:  Sysnap     //  Link:    htt
自己尝试还原的ObReferenceObjectByHandle
pureman_mega的博客
01-05 1175
ObReferencObjectByHandle()这个函数从字面上看就可以知道是通过句(Handle)来访问对象。还原的过程中对汇编语言强大又有了进一步的认识,其效率之高令人惊叹,每个寄存器的使用都是那么的精妙绝伦,相同或类似的功能的代码很少重复出现。效率高的代价就是可读性较差,和C代码相比就会现出巨大的差异;但是对于那些比较熟悉这两种语言的高手来说,随意在两者之间切换应该不是什么问题,而我看
ObReferenceObjectByHandle() 源代码分析
kernweak的博客
12-20 425
首先代码有两篇文章阅读后就懂得差不多了 https://blog.csdn.net/qq_21000273/article/details/53966150 https://bbs.pediy.com/thread-181544.htm 下面是加了注释的代码,wrk中的 NTSTATUS ObReferenceObjectByHandle ( __in HANDLE Handle...
32位/64位WINDOWS驱动之windbg分析ObReferenceObjectByHandle取回进程的过程
a756598009的博客
07-16 619
windbg调试技巧逆向分析windbg访问断点dt查看结构指令windbg使用帮助参考 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/commands.cls 清屏ba r4 地址 //对地址下4字节访问断点。
驱动-句
chengtoreal的博客
03-13 543
当一个进程创建或者打开一个内核对象时,将获得一个句,通过这个句可以访问内核对象 句存在的目的是为了避免在应用层直接修改内核对象 只有进程才有句,句保存了进程中打开或创建的内核对象 关闭句后,会在句中删除对应的项值,并将内核对象引用计数+1 进程关闭后,会清空句,将内核对象引用计数-1 句的值都是4的整数倍,所以将句的值/4得到索引,再在句中找对应值得到实际内核对象地址 因句值是8字节,一个页4KB,句在512个以内是在一个页上,如果超过512个,句标会更改结
Dissecting the Windows Kernel - 关于ObReferenceObjectByHandle中对句的处理
StanfordZhang的专栏
11-18 4432
Dissecting the Windows Kernel -   关于ObReferenceObjectByHandle中对句的处理 一、   摘要 在开发一个 Anti-Rootkit工具中的枚举进程时,发现枚举System Process进程的句信息在Windows XP和Windows 7/8的处理细节有一些不一样,遂想刨根问底,一探究竟。在获取句对象名和类型名的时候都会使
obreferenceobjectbyhandle
最新发布
09-06
obreferenceobjectbyhandle是一个函数,用于通过句来获取对象的引用。 在编程中,对象通常通过在内存中分配空间来创建,并且可以通过指针来引用。句是一个抽象的数据类型,用于标识或引用内存中的对象,它可以被用于在不直接访问指针的情况下对对象进行操作。obreferenceobjectbyhandle函数就是用于通过句来获取对象的引用。 这个函数的作用是根据给定的句,从系统中获取句所对应的对象的引用。它可以用于检索之前创建的对象,以便在程序中继续使用它。 使用obreferenceobjectbyhandle函数需要提供一个句作为参数,并且该句必须是之前通过其他函数或方法获取到的。如果句有效且对应的对象存在,该函数将返回对象的引用,以便在程序中使用。如果句无效或对应的对象不存在,函数可能会返回一个空值或者抛出异常。 该函数在编程中经常用于操作句对象的场景,比如在一些图形界面框架中,可以使用该函数来获取窗口、按钮等控件的引用,以便对其进行操作。 总之,obreferenceobjectbyhandle函数是一个根据句获取对象引用的函数。它使得在编程中可以更方便地操作句对应的对象,提高了代码的可读性和易用性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值