win0环异常处理与Object-Hook

最新推荐文章于 2021-10-17 14:05:23 发布
最新推荐文章于 2021-10-17 14:05:23 发布
阅读量112 收藏
点赞数
原文链接:http://blog.51cto.com/haidragon/2131761
版权

0环下没有veh
有seh

#include <ntifs.h>

VOID DriverUnload(PDRIVER_OBJECT pDriver);

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pPath)
{
    UNREFERENCED_PARAMETER(pPath);
    DbgBreakPoint();

    __try
    {
        int *p = 0;
        *p = 100;
    }
    except(1)
    {
        KdPrint(("哈哈:掠过了一个异常"));
    }
    pDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}
VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
    UNREFERENCED_PARAMETER(pDriver);
}

Object-Hook
条件是要自己声名相关结构(用的windbg查看)
问题是函数与平台相关
例:
win32下

#include <ntifs.h>
VOID DriverUnload(PDRIVER_OBJECT objDriver);
typedef ULONG(*OBGETOBJECTTYPE)(PVOID Object);
typedef NTSTATUS(*PARSEPRODECEDURE)(IN PVOID ParseObject,
    IN PVOID ObjectType,
    IN OUT PACCESS_STATE AccessState,
    IN KPROCESSOR_MODE AccessMode,
    IN ULONG Attributes,
    IN OUT PUNICODE_STRING CompleteName,
    IN OUT PUNICODE_STRING RemainingName,
    IN OUT PVOID Context OPTIONAL,
    IN PSECURITY_QUALITY_OF_SERVICE SecurityQos OPTIONAL,
    OUT PVOID *Object);
PARSEPRODECEDURE g_OldFun;
NTSTATUS NewParseProcedure(IN PVOID ParseObject,
    IN PVOID ObjectType,
    IN OUT PACCESS_STATE AccessState,
    IN KPROCESSOR_MODE AccessMode,
    IN ULONG Attributes,
    IN OUT PUNICODE_STRING CompleteName,
    IN OUT PUNICODE_STRING RemainingName,
    IN OUT PVOID Context OPTIONAL,
    IN PSECURITY_QUALITY_OF_SERVICE SecurityQos OPTIONAL,
    OUT PVOID *Object)
{
    KdPrint(("Hook Success\n"));

    return g_OldFun(ParseObject, ObjectType, AccessState, AccessMode, Attributes,
        CompleteName,
        RemainingName, Context, SecurityQos, Object);
}
OBGETOBJECTTYPE g_OBGetObjectType;
//获得一个函数地址,这个函数能够通过内核对象得到内核对象的类型
VOID GetObjectTypeAddress()
{
    PUCHAR addr;
    UNICODE_STRING pslookup;
    RtlInitUnicodeString(&pslookup, L"ObGetObjectType");

    //               类似于应用层的GetProcAddress
    addr = (PUCHAR)MmGetSystemRoutineAddress(&pslookup);

    g_OBGetObjectType = (OBGETOBJECTTYPE)addr;
}
typedef struct _OBJECT_TYPE_INITIALIZER {
    USHORT Length;
    UCHAR ObjectTypeFlags;
    UCHAR CaseInsensitive;
    UCHAR UnnamedObjectsOnly;
    UCHAR  UseDefaultObject;
    UCHAR  SecurityRequired;
    UCHAR MaintainHandleCount;
    UCHAR MaintainTypeList;
    UCHAR SupportsObjectCallbacks;
    UCHAR CacheAligned;
    ULONG ObjectTypeCode;
    BOOLEAN InvalidAttributes;
    GENERIC_MAPPING GenericMapping;
    BOOLEAN   ValidAccessMask;
    BOOLEAN   RetainAccess;
    POOL_TYPE PoolType;
    BOOLEAN DefaultPagedPoolCharge;
    BOOLEAN DefaultNonPagedPoolCharge;
    PVOID DumpProcedure;
    ULONG OpenProcedure;
    PVOID CloseProcedure;
    PVOID DeleteProcedure;
    ULONG ParseProcedure;
    ULONG SecurityProcedure;
    ULONG QueryNameProcedure;
    UCHAR OkayToCloseProcedure;
} OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;
typedef struct _OBJECT_TYPE {
    LIST_ENTRY TypeList;
    UNICODE_STRING Name;
    PVOID DefaultObject;
    ULONG Index;
    ULONG TotalNumberOfObjects;
    ULONG TotalNumberOfHandles;
    ULONG HighWaterNumberOfObjects;
    ULONG HighWaterNumberOfHandles;
    OBJECT_TYPE_INITIALIZER TypeInfo;
    ULONG  TypeLock;
    ULONG   Key;
    LIST_ENTRY   CallbackList;
} OBJECT_TYPE, *POBJECT_TYPE;
HANDLE KernelCreateFile(
    IN PUNICODE_STRING pstrFile, // 文件路径符号链接
    IN BOOLEAN         bIsDir)   // 是否为文件夹
{
    HANDLE          hFile = NULL;
    NTSTATUS        Status = STATUS_UNSUCCESSFUL;
    IO_STATUS_BLOCK StatusBlock = { 0 };
    ULONG           ulShareAccess =
        FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE;
    ULONG           ulCreateOpt =
        FILE_SYNCHRONOUS_IO_NONALERT;
    // 1. 初始化OBJECT_ATTRIBUTES的内容
    OBJECT_ATTRIBUTES objAttrib = { 0 };
    ULONG             ulAttributes =
        OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE;
    InitializeObjectAttributes(
        &objAttrib,    // 返回初始化完毕的结构体
        pstrFile,      // 文件对象名称
        ulAttributes,  // 对象属性
        NULL, NULL);   // 一般为NULL
    // 2. 创建文件对象
    ulCreateOpt |= bIsDir ?
    FILE_DIRECTORY_FILE : FILE_NON_DIRECTORY_FILE;
    Status = ZwCreateFile(
        &hFile,                // 返回文件句柄
        GENERIC_ALL,           // 文件操作描述
        &objAttrib,            // OBJECT_ATTRIBUTES
        &StatusBlock,          // 接受函数的操作结果
        0,                     // 初始文件大小
        FILE_ATTRIBUTE_NORMAL, // 新建文件的属性
        ulShareAccess,         // 文件共享方式
        FILE_OPEN_IF,          // 文件存在则打开不存在则创建
        ulCreateOpt,           // 打开操作的附加标志位
        NULL,                  // 扩展属性区
        0);                   // 扩展属性区长度
    if (!NT_SUCCESS(Status))
        return (HANDLE)-1;
    return hFile;
}
void OnHook()
{
    //1 随便打开一个文件,得到一个文件对象
    UNICODE_STRING ustrFilePath;
    RtlInitUnicodeString(&ustrFilePath,
        L"\\??\\D:\\123.txt");
    HANDLE hFile = KernelCreateFile(&ustrFilePath, FALSE);
    PVOID pObject;
    ObReferenceObjectByHandle(hFile, GENERIC_ALL, NULL, KernelMode, &pObject, NULL);

    //2 通过这个文件对象得到OBJECT_TYPE这个结构体
    OBJECT_TYPE * FileType = NULL;
    FileType = (OBJECT_TYPE *)g_OBGetObjectType(pObject);
    //3 把这个函数地址保存起来
    g_OldFun = (PARSEPRODECEDURE)FileType->TypeInfo.ParseProcedure;
    //4 把这个函数地址替换为自己的函数。
    FileType->TypeInfo.ParseProcedure = (ULONG)NewParseProcedure;
}

void OffHook()
{

}

NTSTATUS DriverEntry(
    PDRIVER_OBJECT  pDriver,
    PUNICODE_STRING strRegPath)
{
    // 避免编译器报未引用参数的警告
    UNREFERENCED_PARAMETER(strRegPath);
    // 打印一行字符串,并注册驱动卸载函数,以便于驱动卸载
    DbgBreakPoint();//_asm int 3
    __try
    {
        GetObjectTypeAddress();
        OnHook();
    }
    except(1)
    {
        KdPrint(("掠过一个异常\n"));
    }
    KdPrint(("My First Dirver!"));
    pDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}
VOID DriverUnload(PDRIVER_OBJECT objDriver) {
    // 避免编译器报未引用参数的警告
    UNREFERENCED_PARAMETER(objDriver);
    // 什么也不做,只打印一行字符串
    KdPrint(("My Dirver is unloading..."));
}

转载于:https://blog.51cto.com/haidragon/2131761

weixin_33943347
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
webmsxyw x-s分析
李玺
05-21 3790
通过webmsxywx生成的x-s分析
全网最详细的从0到1的turbo pnpm monorepo的前端工程化项目[搭建篇]
最新发布
禅思院
02-18 484
本文从实战出发,初步单间一个为 turbo的基础项目工程项目,本文我估计,是全网唯一一个手把手第一次真正从0到一的完整的教程,纯属个人见解,因为我没有看到像我这么全的!,本文旨意在搭建一个vue3的组件库,后面还有更多的文章信息,我也不知道后面文章什么时候更新,本人很赖!希望搭建鼓励鼓励我!
objecthook_objecthook_
09-30
hook文件对象回调函数 没有做任何事只是打印全路径
RootKit hook 之[一] object hook
06-03 819
作 者: combojiang时 间: 2008-01-08,11:43链 接: http://bbs.pediy.com/showthread.php?t=57900今天是2008年1月8号,一个非常响亮的日子,今天我们将开始rootkit实战之旅。第一篇是object hook.这篇文章来源于前段时间我逆向的机器狗代码,前段时间我只是贴出了应用的部分,对于内核的部分,我没有贴出来,主要是害怕他
objectHook简单介绍
o330820350的专栏
09-12 1088
标 题: 【原创】objectHook简单介绍 作 者: ggdd 时 间: 2011-01-15,13:13:20 链 接: http://bbs.pediy.com/showthread.php?t=128161 其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄
object hook
04-21 4650
object是什么东西?光从名字上面不难看出,对象。这篇是关于内核对象的hook,为什么要hook他呢,额,这个嘛。因人而异。 看雪上面有很详细的说明,本菜鸟算是抄袭过来而已。版权归看雪所有。 objectHook简单介绍 windbg截图为XP SP3系统。 _OBJECT_HEADER结构: typedef struct _OBJECT_HEADER
[Windows 驱动开发] object hook
LYSM
08-30 632
内核对象种类 名称 类型 Job、Directory 对象目录中的路径 SymbolLink 符号链接 Section 内存映射文件 Port LPC端口 IoCompletion Io完成端口 File 文件(并非专指磁盘文件) Mutex、Event、Semaphore、Timer 同步对象 Key 注册表中的键 Token 用户/组令牌 Process、Thread 进程线程 Pipe 管道 Mailslot 邮件槽 Debug 调试端口
windwos键盘的过滤(Hook键盘中断反过滤与利用IOAPIC重定位修改处理函数)
u012640985的专栏
04-24 1394
果不想让键盘过滤驱动程序或回调函数首先获得按键,则必须比端口驱动更加底层一些。 早期版本的QQ反盗号驱动的原理是这样的:用户要输入密码时(比如把输入焦点移动到了密码框里),就注册一个中断服务来接管键盘中断,比如0x93中断,之后按键就不关键驱动的事了。
SSDT Hook底层原理介绍以及如何实现进程保护
linuxguitu的博客
12-03 945
目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descr.
WIN32之旅】WINDOWS错误处理与参考(四)
热门推荐
Jeffrey Tse 的专栏
03-20 1万+
上一篇,我们说到了GetLastError()函数,可是它返回的是一个DWORD(双字型)的错误代码,如果我们并不清楚FormatMessage()函数或者就只想快速简单地得到错误具体信息,那怎么办呢? 接下来要补充的就是错误信息大全,这样我们就能快速方便地查找到错误代码所对应的错误信息了,目前微软WINDOWS系统的错误信息代码编号已经从0排到了15999,而且还在不断地增长,以下列出的均为
内核Hook资料-Object HOOK
12-31
内核Hook资料-Object HOOK
ObjectType HOOK干涉注册表操作
03-22 909
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象对象头(object_header)有一个object type结构object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER typedef struct _OBJECT_TYPE_INITIALIZER {USHORT Length;BOOLE
Object Hook 简单介绍
liujiayu2的专栏
07-18 1456
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,水平才能提高得快。    第一我们先看下OBJECT的组成 主要是3部分 如下图
保护内核对象—对象挂钩(Object Hook
qq_42814021的博客
10-17 1513
内核对象 每个内核对象实际上都是一个内存块,它是由操作系统内核分配的,并且只能由操作系统内核访问。这个内存块是一个数据结构,它的成员维护着和这个对象相关的信息。但是应用程序不能直接访问和修改这些数据结构,它们需要通过句柄。 先通过系统调用打开/创建内核对象,让当前进程与目标对象之间建立起连接,此时就会返回一个句柄。然后调用Windows提供的一系列API函数就能访问这些内核对象。所以句柄其实相当于一个接口,Ring3层通过它来访问Ring0层的一些数据结构。 内核对象由对象头和对象体组成。 当应用程序打开内
object_Hook相关知识
kernweak的博客
09-03 679
前置知识 首先,分析OBJECT(内核对象) 先找到一个进程内核对象的地址,使用!process 0 0查看 PROCESS 885de030 SessionId: 1 Cid: 0700 Peb: 7ffd9000 ParentCid: 0418 DirBase: 7f3602e0 ObjectTable: 98a8c548 HandleCount: 60...
一种Object hook的思路和实现过程
09-11 2586
 作 者: sudami时 间: 2008-08-08,20:34链 接: http://bbs.pediy.com/showthread.php?t=70329 作者:sudami [sudami@163.com]时间:2008/08/08 主题:NtClose相关逆向关键词:Object/type/hook/OkayToCloseProcedure ----------------------
【记录】学习下ObjectTypeHook Check
Returns' Station
05-11 986
看了下sudami那篇文章,记录+膜拜一下~~ 很简单,就是太麻烦,思路还是可以学习下的。之前没想过重定位可以用来找引用=。=||| 一般ObjectTypeHook 关注device driver file process thread job 还有 CmpKey,由于检测这个都是靠特征值匹配的,工作量会很大,其他的先无视了。 device driver process 这类导
HOOK ObjectType 干涉文件访问
zacklin的专栏
07-24 1161
前几日在网上看到MJ0011大虾写的一篇《ObjectType HOOK干涉注册表操作(bypass icesword,gmer,NIAP,etc.)》的文章,感觉很有兴趣。MJ大虾的文章给出的代码主要是干涉注册表的。而ObjectType 可以干涉的不只是注册表,所以就想到用同样的方法去干涉文件的访问,举一反三嘛。 然后问题就出现了 用Windbg跟了一下,发现在pNewParseP
[内核安全3]内核态Rootkit之Object Hook
輚至消亡
12-18 529
Object Hook是通过挂钩OBJECT_HEADER其中一些字段来实现的。在Windows中通过对象管理器来管理所有对象,可以使用WinObj来观察一下WinXP SP3下的对象类型: Windows中包含三种对象: 执行体对象 内核对象 GDI/User对象 这里我们挂钩的就是执行体对象。 这里实验机器是WinXP SP3, 首先来看一下进程对象的数据结构: 然后随便找一个进程对象,寻找他的对象结构体,比如之前打开的WinObj进程, 通过!object命令查找到了其进
python playwright 处理picker-column-hook
05-11
但是,如果下拉框是通过 picker-column-hook 实现的,这种方法可能不起作用。 在这种情况下,可以使用 Playwright 的 `page.dispatchEvent(selector, type, eventInit)` 方法来模拟触发事件来选择选项。具体步骤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值