ObjectHook

最新推荐文章于 2021-10-20 13:34:50 发布
最新推荐文章于 2021-10-20 13:34:50 发布
阅读量719 收藏 1
点赞数
分类专栏: 底层

转载自:http://mzf2008.blog.163.com/blog/static/35599786201152045341614/


其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接

可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以
拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得
快点,多多交流,互相学习,水平才能提高得快。
   第一我们先看下OBJECT的组成 主要是3部分 如下图
              
         |---------| 
         | 附加信息| --->  主要的几个结构是 OBJECT_HEADER_CREATOR_INFO 创建信息 
                              OBJECT_HEADER_NAME_INFO 这里面有对象名等主要信息 
                              OBJECT_HEADER_HANDLE_INFO 一些句柄信息          
         |_________|                 
         |         | 
         | 对象头  |---->     一个重要的结构   OBJECT_HEADER              
         |_________|  
         |         | 
         | OBJECT  | --->       对象                
         |_________|  
   我们主要看下OBJECT_HEADER这个数据结构几个重要我成员我注释出来

typedef struct _OBJECT_HEADER { 
  LONG PointerCount; 
  union { 
    LONG HandleCount; 
    PSINGLE_LIST_ENTRY SEntry; 
  }; 
  POBJECT_TYPE Type; //这个很重要HOOK就靠它,对象类型结构也是一个对象,TYPE它是系统第一个创建出来的对象类型 
  UCHAR NameInfoOffset; //OBJECT_HEADER_NAME_INFO 偏移
  UCHAR HandleInfoOffset; //OBJECT_HEADER_HANDLE_INFO 偏移
  UCHAR QuotaInfoOffset; 
  UCHAR Flags; 
  union 
  { 
    POBJECT_CREATE_INFORMATION ObjectCreateInfo; 
    PVOID QuotaBlockCharged; 
  };
  
  PSECURITY_DESCRIPTOR SecurityDescriptor; 
  QUAD Body;//对象本身 
} OBJECT_HEADER, *POBJECT_HEADER; 
对象类型结构
typedef struct _OBJECT_TYPE { 
  ERESOURCE Mutex; 
  LIST_ENTRY TypeList; //队列
  UNICODE_STRING Name; 
  PVOID DefaultObject; 
  ULONG Index; 
  ULONG TotalNumberOfObjects; 
  ULONG TotalNumberOfHandles; 
  ULONG HighWaterNumberOfObjects; 
  ULONG HighWaterNumberOfHandles; 
  OBJECT_TYPE_INITIALIZER TypeInfo; //这个很重要,下面讲这个结构
#ifdef POOL_TAGGING 
  ULONG Key; 
#endif 
} OBJECT_TYPE, *POBJECT_TYPE;
对象类型结构主要是创建对象类型比如*IoFileObjectType,*PsProcessType,*PsThreadType这些类型
系统初始化的时候第一个创建的对象类型结构就是TYPE类型结构生成对象目录\ObjectTypes 其它后面的
比如文件对象类型就挂在\ObjectTypes\File 再比如\ObjectTypes\Device
说白点就是你要生成对象就会创建(指定)相对应的对象类型结构
 最重要的一个数据结构
typedef struct _OBJECT_TYPE_INITIALIZER {
  USHORT Length;
  BOOLEAN UseDefaultObject;
  BOOLEAN CaseInsensitive;
  ULONG InvalidAttributes;
  GENERIC_MAPPING GenericMapping;
  ULONG ValidAccessMask;
  BOOLEAN SecurityRequired;
  BOOLEAN MaintainHandleCount;
  BOOLEAN MaintainTypeList;
  POOL_TYPE PoolType;
  ULONG DefaultPagedPoolCharge;
  ULONG DefaultNonPagedPoolCharge;
  PVOID DumpProcedure;/*
  PVOID OpenProcedure;        这几个函数指针就是我们最需要的
  PVOID CloseProcedure;       这些函数都是决定你的对象的的一些
  PVOID DeleteProcedure;      操作或者叫方法,比如打开 创建 删除
  PVOID ParseProcedure;       不同的对象类型(OBJECT_TYPE)操作也不同
  PVOID SecurityProcedure;    所以要清楚的知道(OBJECT_TYPE)对象是什么类型
  PVOID QueryNameProcedure;   如果没有配置系统调用的对象类型 都是用NtOpenFile
  PVOID OkayToCloseProcedure;*/
} OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;


这些方法何时被调用呢,我举个例子
当你调用NtCreateFile->IoCreateFile->ObOpenObjectByName->ObpLookupObjectName->IopParseFile->IopParseDevice
IopParseFile最终也会调用IopParseDevice
ObjectHook其实就是比如你要HOOK 创建打开就是OBJECT_TYPE_INITIALIZER->ParseProcedure

说了一大堆废话 上段代码。
#include <ntddk.h>


#define OBJECT_TO_OBJECT_HEADER(o)\
      CONTAINING_RECORD((o),OBJECT_HEADER,Body)

typedef struct _OBJECT_TYPE_INITIALIZER {
  USHORT Length;
  BOOLEAN UseDefaultObject;
  BOOLEAN CaseInsensitive;
  ULONG InvalidAttributes;
  GENERIC_MAPPING GenericMapping;
  ULONG ValidAccessMask;
  BOOLEAN SecurityRequired;
  BOOLEAN MaintainHandleCount;
  BOOLEAN MaintainTypeList;
  POOL_TYPE PoolType;
  ULONG DefaultPagedPoolCharge;
  ULONG DefaultNonPagedPoolCharge;
  PVOID DumpProcedure;
  PVOID OpenProcedure;
  PVOID CloseProcedure;
  PVOID DeleteProcedure;
  PVOID ParseProcedure;
  PVOID SecurityProcedure;
  PVOID QueryNameProcedure;
  PVOID OkayToCloseProcedure;
} OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;


typedef struct _OBJECT_TYPE { 
  ERESOURCE Mutex; 
  LIST_ENTRY TypeList; 
  UNICODE_STRING Name; 
  PVOID DefaultObject; 
  ULONG Index; 
  ULONG TotalNumberOfObjects; 
  ULONG TotalNumberOfHandles; 
  ULONG HighWaterNumberOfObjects; 
  ULONG HighWaterNumberOfHandles; 
  OBJECT_TYPE_INITIALIZER TypeInfo; 
#ifdef POOL_TAGGING 
  ULONG Key; 
#endif 
} OBJECT_TYPE, *POBJECT_TYPE;

typedef struct _OBJECT_CREATE_INFORMATION { 
  ULONG Attributes; 
  HANDLE RootDirectory; 
  PVOID ParseContext; 
  KPROCESSOR_MODE ProbeMode; 
  ULONG PagedPoolCharge; 
  ULONG NonPagedPoolCharge; 
  ULONG SecurityDescriptorCharge; 
  PSECURITY_DESCRIPTOR SecurityDescriptor; 
  PSECURITY_QUALITY_OF_SERVICE SecurityQos; 
  SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService; 
} OBJECT_CREATE_INFORMATION, *POBJECT_CREATE_INFORMATION;

typedef struct _OBJECT_HEADER { 
  LONG PointerCount; 
  union { 
    LONG HandleCount; 
    PSINGLE_LIST_ENTRY SEntry; 
  }; 
  POBJECT_TYPE Type; 
  UCHAR NameInfoOffset; 
  UCHAR HandleInfoOffset; 
  UCHAR QuotaInfoOffset; 
  UCHAR Flags; 
  union 
  { 
    POBJECT_CREATE_INFORMATION ObjectCreateInfo; 
    PVOID QuotaBlockCharged; 
  };
  
  PSECURITY_DESCRIPTOR SecurityDescriptor; 
  QUAD Body; 
} OBJECT_HEADER, *POBJECT_HEADER;

POBJECT_TYPE pType= NULL;
POBJECT_HEADER addrs=NULL;
PVOID OldParseProcedure = NULL;


NTSTATUS NewParseProcedure(IN PVOID ParseObject,
             IN PVOID ObjectType,
             IN OUT PACCESS_STATE AccessState,
             IN KPROCESSOR_MODE AccessMode,
             IN ULONG Attributes,
             IN OUT PUNICODE_STRING CompleteName,
             IN OUT PUNICODE_STRING RemainingName,
             IN OUT PVOID Context OPTIONAL,
             IN PSECURITY_QUALITY_OF_SERVICE SecurityQos OPTIONAL,
             OUT PVOID *Object) 
{
    NTSTATUS Status;
    KdPrint(("object is hook\n"));
    __asm
    {
        push eax
        push Object
        push SecurityQos
        push Context
        push RemainingName
        push CompleteName
        push Attributes
        movzx eax, AccessMode
        push eax
        push AccessState
        push ObjectType
        push ParseObject
        call OldParseProcedure
        mov Status, eax
        pop eax   
    }
    
    return Status;
}

NTSTATUS Hook()
{
    NTSTATUS  Status;
    HANDLE hFile;
    UNICODE_STRING Name;
    OBJECT_ATTRIBUTES Attr;
    IO_STATUS_BLOCK ioStaBlock;
    PVOID pObject = NULL;
    
    RtlInitUnicodeString(&Name,L"\\Device\\HarddiskVolume1\\1.txt");
    InitializeObjectAttributes(&Attr,&Name,OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE ,0,NULL);
    Status = ZwOpenFile(&hFile,GENERIC_ALL,&Attr,&ioStaBlock,0,FILE_NON_DIRECTORY_FILE);
    if (!NT_SUCCESS(Status))
    {
        KdPrint(("File is Null\n"));
        return Status;
    }
    
    Status = ObReferenceObjectByHandle(hFile,GENERIC_ALL,NULL,KernelMode,&pObject,NULL);
    if (!NT_SUCCESS(Status))
    {
        KdPrint(("Object is Null\n"));
        return Status;
    }
    
    KdPrint(("pobject is 0x%08X\n",pObject));
    
    addrs=OBJECT_TO_OBJECT_HEADER(pObject);//获取对象头
        
    pType=addrs->Type;//获取对象类型结构 object-10h
    
    KdPrint(("pType is 0x%08X\n",pType));
    OldParseProcedure = pType->TypeInfo.ParseProcedure;//获取服务函数原始地址OBJECT_TYPE+9C位置为打开
    KdPrint(("OldParseProcedure addrs is 0x%08X\n",OldParseProcedure));
    KdPrint(("addrs is 0x%08X\n",addrs));
    if (!MmIsAddressValid(OldParseProcedure))
    {
        ObDereferenceObject(pObject);
        ZwClose(hFile);
        return STATUS_SUCCESS;
    }

    pType->TypeInfo.ParseProcedure = NewParseProcedure;//hook

    ObDereferenceObject(pObject);
    Status = ZwClose(hFile);

    return Status;
}

VOID Unload(IN PDRIVER_OBJECT DriverObject)
{
    KdPrint(("Unload!\n"));
    pType->TypeInfo.ParseProcedure = OldParseProcedure;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
{
    NTSTATUS Status = STATUS_SUCCESS;
    DriverObject->DriverUnload = Unload;
    Status = Hook();
    return Status;
}
whitesilt
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核Hook资料-Object HOOK
12-31
内核Hook资料-Object HOOK
ObjectHook protect MBR
02-08
ObjectHook protect MBR
Object Hook 简单介绍
liujiayu2的专栏
07-18 1443
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,水平才能提高得快。    第一我们先看下OBJECT的组成 主要是3部分 如下图
基于Frida的工具介绍——Objection
热门推荐
lilac的博客
12-29 2万+
Objection 介绍 objection是一个基于Frida开发的命令行工具,它可以很方便的Hook Java函数和类,并输出参数,调用栈,返回值。 1.1 安装Objection pip install objection 1.2 启动Objection 保证Frida server开启 命令行输出 objection -g packageName explore 即可进入obj...
objectdock 的 tray系统托盘插件
havip的专栏
11-28 864
<br />貌似110k左右大小,多谢多谢 <br />还需要一个 win 7 下 仿mac os 的主题,有的发来,感激不尽
x64 Global HANDLE 全局句柄表
Mikasys的博客
10-20 806
全局句柄表 0: kd> dq PspCidTable fffff800`04070408 fffff8a0`00004880 00000000`00000000 fffff800`04070418 ffffffff`80000020 00000000`00000101 fffff800`04070428 ffffffff`80000298 ffffffff`80000024 fffff800`04070438 00000000`00000000 00000000`00000113 fffff
Win7 OBJECT_HEADER之TypeIndex解析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1267
Win7 OBJECT_HEADER之TypeIndex解析 2010年08月09日 13:30 在Windows系统的对象管理中,为了能够从对象头获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里,这个表叫做ObTypeIndexTa
objecthook_objecthook_
09-30
在Python编程中,`objecthook`是一个非常关键的概念,特别是在序列化和反序列化操作中。这个概念主要与`json`模块相关,因为当我们使用`json`进行数据转换时,`objecthook`允许我们自定义如何将JSON对象转化为Python...
object hook.doc
04-29
对于系统钩子的详细解释,希望各位可以支持一下
ObjHook.zip
01-16
对象钩子Object Hook)是一种在编程中用于拦截和修改对象操作的技术,它通常与Windows API中的钩子机制相结合,特别是在系统级编程和调试中。本压缩包“ObjHook.zip”提供了一个关于Object Hook实际应用的示例,...
关于Win7 x64下过TP保护(内核层)(转)
u012871930的博客
02-26 2304
调试对象:DXF 调试工具:OD、Windbg 调试环境:Win7 SP1 X64 内核层部分: x64下因为有PatchGuard的限制,很多保护都被巨硬给抹掉了。 比如SSDT Hook Inline Hook 所以TP无法继续使用这些保护手段了。 除非腾Xun冒着被巨硬吊销数字签名的风险来阻止我们调试。 我曾经在看雪论坛里看过有个人写的文章,它亲自测试在x64环境下清零调试端口,结果发生...
Python json序列化时default/object_hook指定函数处理
weixin_34358092的博客
02-09 646
在Python中,json.dumps函数接受参数default用于指定一个函数,该函数能够把自定义类型的对象转换成可序列化的基本类型。json.loads函数接受参数objec_thook用于指定函数,该函数负责把反序列化后的基本类型对象转换成自定义类型的对象。 boy1 = boy('Will', 20) #default method for decode def boydefault(o...
[Windows 驱动开发] object hook
LYSM
08-30 623
内核对象种类 名称 类型 Job、Directory 对象目录中的路径 SymbolLink 符号链接 Section 内存映射文件 Port LPC端口 IoCompletion Io完成端口 File 文件(并非专指磁盘文件) Mutex、Event、Semaphore、Timer 同步对象 Key 注册表中的键 Token 用户/组令牌 Process、Thread 进程线程 Pipe 管道 Mailslot 邮件槽 Debug 调试端口
HOOK Object XXProcedure 保护进程
yeook的专栏
11-16 2233
HOOK Object XXProcedure 保护进程 lkd> !process PROCESS 87cec960  SessionId: 0  Cid: 0bf8    Peb: 7ffd6000  ParentCid: 0c7c     DirBase: 0ab405e0  ObjectTable: e2a94618  HandleCount: 353.     Image:
【记录】学习下ObjectTypeHook Check
Returns' Station
05-11 979
看了下sudami那篇文章,记录+膜拜一下~~ 很简单,就是太麻烦,思路还是可以学习下的。之前没想过重定位可以用来找引用=。=||| 一般ObjectTypeHook 关注device driver file process thread job 还有 CmpKey,由于检测这个都是靠特征值匹配的,工作量会很大,其他的先无视了。 device driver process 这类导
ObjectType HOOK干涉注册表操作
03-22 905
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象对象头(object_header)有一个object type结构object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER typedef struct _OBJECT_TYPE_INITIALIZER {USHORT Length;BOOLE
Method Swizzling(iOS的hook机制)
枫叶雪
01-20 3945
为了安全,要为NSUserDefaults加密。但是为NSUserDefaults的每个读写的地方加入加密解密方法也太麻烦。所以想重写NSUserDefaults的读写方法,把加密解密方法内嵌其中,这样修改代码量大大减少。 先贴上代码 #import @interface NSUserDefaults (Swizzle) -(void)swizzleSetObject:(nullable
API拦截—实现Ring3全局HOOK
迈克揉索芙特
01-02 4571
       魏滔序注:本转载内容仅用来技术研究,请勿于损人害己之用。       首先来解释一下这次的目标。由于windows的copy-on-write机制(Ring0下可以用CR0寄存器关掉它),Ring3下的HOOK只对当前进程有效,其他进程的API还是正常的。这就是说我们必须枚举进程,然后对每个Ring3进程执行一遍HOOK操作。但是,系统中总有新进程产生,对于这些新进程我们怎么处理
NullReferenceException: Object reference not set to an instance of an object Hook.Start () (at Assets/Script/Hook.cs:40)
最新发布
06-19
`NullReferenceException: Object reference not set to an instance of an object` 是 .NET 框架中常见的运行时错误,它通常发生在尝试访问或调用一个对象的方法或属性,但该对象实际上是 `null`(即引用为 `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值