ObpReferenceProcessObjectByHandle 学习

最新推荐文章于 2023-07-16 19:03:01 发布
最新推荐文章于 2023-07-16 19:03:01 发布
阅读量848 收藏
点赞数
分类专栏: windows内核驱动相关 文章标签: object thread table header null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stecdeng/article/details/7594335
版权
NTSTATUS
ObpReferenceProcessObjectByHandle (
    IN HANDLE Handle,
    ......        OUT PVOID *Object,
    ......    
    )    {
     //获取当前线程
    Thread = PsGetCurrentThread ();
    *Object = NULL;
      // HANDLE为负数 说明才是内核使用句柄?        if ((LONG)(ULONG_PTR) Handle < 0) {
        //句柄就是当前进程  直接获取进程的对象头 增加引用计数并返回PROCESS即可
             if (Handle == NtCurrentProcess()) {            GrantedAccess = Process->GrantedAccess;            ObjectHeader = OBJECT_TO_OBJECT_HEADER(Process);            HandleInformation->GrantedAccess = GrantedAccess;
            HandleInformation->HandleAttributes = 0;            *AuditMask = 0;            ObpIncrPointerCount(ObjectHeader);
            *Object = Process;            ASSERT( *Object != NULL );            Status = STATUS_SUCCESS;            return Status;        //如果句柄是当前线程 也是增加引用计数和返回线程即可
           } else if (Handle == NtCurrentThread()) {            GrantedAccess = Thread->GrantedAccess;            ObjectHeader = OBJECT_TO_OBJECT_HEADER(Thread);            HandleInformation->GrantedAccess = GrantedAccess;
            HandleInformation->HandleAttributes = 0;            *AuditMask = 0;            ObpIncrPointerCount(ObjectHeader);
            *Object = Thread;            ASSERT( *Object != NULL );            Status = STATUS_SUCCESS;            return Status;        } else if (AccessMode == KernelMode) {
            //
            //  除开上述两种情况 如果是在内核模式下调用此函数的话            //            Handle = DecodeKernelHandle( Handle );            // 解析内核句柄            // #define EncodeKernelHandle(H) (HANDLE)(KERNEL_HANDLE_MASK | (ULONG_PTR)(H))            // #define DecodeKernelHandle(H) (HANDLE)(KERNEL_HANDLE_MASK ^ (ULONG_PTR)(H))
            // 句柄表是内核句柄表 即SYSTEM句柄表              HandleTable = ObpKernelHandleTable;
        } else {        ......        }
    //
    // 之后进入线程的EnterCriticalRegion    //    //  Translate the specified handle to an object table index.
    //   将句柄翻译成句柄表项  ExMapHandleToPointer 是此函数重点    ObjectTableEntry = ExMapHandleToPointer ( HandleTable, Handle );    // 有了句柄表项就获取对象头 增加引用计数和文件头BODY部分复制到OBJECT参数传出。       ........
    return Status;
}  NTKERNELAPI
PHANDLE_TABLE_ENTRY
ExMapHandleToPointer (    )主要  通过句柄索引在句柄表中查找句柄表项    HandleTableEntry = ExpLookupHandleTableEntry( HandleTable,
                                                  LocalHandle ); PHANDLE_TABLE_ENTRY
ExpLookupHandleTableEntry (
    IN PHANDLE_TABLE HandleTable,
    IN EXHANDLE tHandle
    ){   CapturedTable = *(volatile ULONG_PTR *) &HandleTable->TableCode;
    TableLevel = (ULONG)(CapturedTable & LEVEL_CODE_MASK);    // 这样就可以知道句柄表是1层表 还是2层表 还是3层表    //下面是SWITCH CASE结构来根据几层表来计算其在稀疏数组的偏移,返回我们需要的句柄表项    //句柄表内存分配是按页面大小4K来分配 一个句柄表项是8B 所以每申请一个页面来存放句柄表项就是增加512个句柄表项
    //} ObpReferenceProcessObjectByHandle 整个流程就是分析给出句柄是否是当前的进程或者线程 然后直接返回CURRENTTHREAD或者CURRENTPROCESS ,否则获取句柄表进行查询,通过句柄与对象的对应关系返回对应对象指针。注意此函数增加了引用计数,所以还需要解引用。(省略权限检测等过程) 
stecdeng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过ObReferenceObjectByHandle了解进程句柄三张表
qq_41610493的博客
04-05 924
逆向实战
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 6087
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
process object
weixin_33694620的博客
05-06 138
http://technet.microsoft.com/en-us/library/bb613487%28v=vs.85%29.aspx     All objects of the same type have the same properties and methods, but each instance of an object can have different values...
自己尝试还原的ObReferenceObjectByHandle
pureman_mega的博客
01-05 1175
ObReferencObjectByHandle()这个函数从字面上看就可以知道是通过句柄(Handle)来访问对象。还原的过程中对汇编语言强大又有了进一步的认识,其效率之高令人惊叹,每个寄存器的使用都是那么的精妙绝伦,相同或类似的功能的代码很少重复出现。效率高的代价就是可读性较差,和C代码相比就会表现出巨大的差异;但是对于那些比较熟悉这两种语言的高手来说,随意在两者之间切换应该不是什么问题,而我看
32位/64位WINDOWS驱动之windbg分析ObReferenceObjectByHandle取回进程句柄的过程
最新发布
a756598009的博客
07-16 619
windbg调试技巧逆向分析windbg访问断点dt查看结构指令windbg使用帮助参考 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/commands.cls 清屏ba r4 地址 //对地址下4字节访问断点。
Dissecting the Windows Kernel - 关于ObReferenceObjectByHandle中对句柄的处理
StanfordZhang的专栏
11-18 4432
Dissecting the Windows Kernel -   关于ObReferenceObjectByHandle中对句柄的处理 一、   摘要 在开发一个 Anti-Rootkit工具中的枚举进程句柄时,发现枚举System Process进程的句柄信息在Windows XP和Windows 7/8的处理细节有一些不一样,遂想刨根问底,一探究竟。在获取句柄对象名和类型名的时候都会使
Gloomy对Windows内核的分析(对象管理器)
峥嵘岁月
01-31 5173
Inside WINDOWS NT Object Manager=====================================                                                                                  Заточенное само в себе                         
对象创建(ObCreateObject)和对象删除(ObDereferenceObject、ObpRemoveObjectRoutine)
qq492927689的博客
06-03 698
转载来源:https://blog.csdn.net/wzsy/article/details/6188554为对象分配内存看完了, 这次我们看一个比较高层的函数。 ObCreateObject, 这是内核的导出函数, 所有模块都可以使用(虽然它没有被文档化…) 它的作用是创建指定类型(OBJECT_TYPE)的对象示例。(注意ObAllocateObject只是分配了空间, 这里可以看到后续的操作) 这个函数的参数还真多啊。微软函数的参数一直都和火车一样。我们只能淡定。。。 NTSTATUS ObCrea
ObReferenceObjectByHandle内核函数
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-07 1499
大槪就是看这个句柄是当前进程的句柄还是当前线程的句柄,最后再看看这AccessMode是内核还是用户态下,内核的话,句柄表就用ObpKernelHandleTable,用户态的话就用当前进程的句柄表 NTSTATUS ObReferenceObjectByHandle (     __in HANDLE Handle,     __in ACCESS_MASK DesiredAccess,
Windows 10 X64 内核对象句柄表解析
vs2008ASPNET的专栏
05-24 1313
fweWindows 很多API函数都会创建和使用句柄(传入参数),句柄代表一个内核对象的内存地址,每个进程都有一个句柄表,它保存着进程拥有的句柄,内核也有一个句柄表 PspCidTable,它保存着整个系统的句柄。0xffff8d85`570ff000 notepad.exe句柄表地址,低两位为0 表示是1级表。(句柄项>>0x10)&0xfffffffffffffff0 = 对象地址(低位)句柄表地址+(进程ID>>0xa*8)-1。从内核句柄项中解析出内核对象地址。由上内核函数逆向可知。
驱动中枚举和关闭内核句柄
liwen930723的专栏
09-25 2232
WIN64AST的作者之前发布了一些教程,里面有关于关闭内核句柄的介绍,但是他忘了一件事,所以那份代码并不能真正的关闭内核句柄,而且他的代码。。。不敢用在项目里。有人在看雪上问过类似问题,我也回答过,在vista之后,windows会检查内核句柄值得有效性,也就是为什么下面我提供的代码中会有这一行: *(PULONG64)HandleValue |= (ULONG64)KERNEL_HANDLE...
Kernel Handle
strongxu的专栏
03-19 2688
上周把写的驱动挂上driver verifier之后发现驱动会挂掉。!analyze -v 提示说使用了User Mode的Handle。后来仔细查看代码,原来在驱动中我需要打开system进程,调用ZwOpenProcess的时候需要指定OBJECT_ATTRIBUTES,而这个attributes是需要指定为OBJ_KERNEL_HANDLE才表明这个Handle是Kernel Handle,
反调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)
LYSM
09-16 3954
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先需要知道的几点: // NtQueryInformationProcess 函数原型 __kernel_entry NTSTATUS NtQueryInformationPro...
还原NtTerminateProcess
埋vizee的墓
12-04 3309
在上课吃饱了没事干的情况下,花了点功夫还原了我电脑上的NtTerminateProcess的代码 我的系统是Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible(来自windbg) nt!NtTerminateProcess: mov edi,edi push ebp mo
Win64 驱动内核编程-33.枚举与删除对象回调
天使也掉毛
04-04 5380
枚举与删除对象回调 对象回调存储在对应对象结构体里,简单来说,就是存储在ObjectType.CallbackList这 个双向链表里。但对象结构体在每个系统上都不一定相同。比如WIN7X64的结构体如下: ntdll!_OBJECT_TYPE +0x000TypeList:_LIST_ENTRY +0x010Name:_UNICODE_STRING +0...
解读OBJ_KERNEL_HANDLE
xbgprogrammer的专栏
03-14 2324
我们在创建文件对象时,会使用宏InitializeObjectAttributes初始化OBJECT_ATTRIBUTES结构体,InitializeObjectAttributes声明如下: VOID InitializeObjectAttributes( OUT POBJECT_ATTRIBUTES InitializedAttributes, IN PUNICODE
ObReferenceObjectByHandle例程
mofabang的专栏
11-18 3012
ObReferenceObjectByHandle例程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值