山寨OBJECT_TYPE隐藏技术的检测方法

最新推荐文章于 2024-09-18 22:43:41 发布
最新推荐文章于 2024-09-18 22:43:41 发布
阅读量790 收藏
点赞数
文章标签: object header windows string c list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxinjiang/article/details/7013491
版权
针对《对抗内存搜索对象-教主》一文中山寨OBJECT_TYPE隐藏技术的检测方法:
 
方法1:
 
[Windows XP sp2] 
 
nt!_OBJECT_TYPE
   +0x000 Mutex            : _ERESOURCE
   +0x038 TypeList         : _LIST_ENTRY [ 0x821a55f0 - 0x821a55f0 ]
   +0x040 Name             : _UNICODE_STRING "Driver"
   +0x048 DefaultObject    : 0x805598c0 
   +0x04c Index            : 0x1a
   +0x050 TotalNumberOfObjects : 0x61
   +0x054 TotalNumberOfHandles : 0
   +0x058 HighWaterNumberOfObjects : 0x67
   +0x05c HighWaterNumberOfHandles : 1
   +0x060 TypeInfo         : _OBJECT_TYPE_INITIALIZER
   +0x0ac Key              : 0x76697244
   +0x0b0 ObjectLocks      : [4] _ERESOURCE

nt!_OBJECT_TYPE_INITIALIZER
   +0x000 Length           : Uint2B
   +0x002 UseDefaultObject : UChar
   +0x003 CaseInsensitive  : UChar
   +0x004 InvalidAttributes : Uint4B
   +0x008 GenericMapping   : _GENERIC_MAPPING
   +0x018 ValidAccessMask  : Uint4B
   +0x01c SecurityRequired : UChar
   +0x01d MaintainHandleCount : UChar
   +0x01e MaintainTypeList : UChar
   +0x020 PoolType         : _POOL_TYPE
   +0x024 DefaultPagedPoolCharge : Uint4B
   +0x028 DefaultNonPagedPoolCharge : Uint4B
   +0x02c DumpProcedure    : Ptr32     void 
   +0x030 OpenProcedure    : Ptr32     long 
   +0x034 CloseProcedure   : Ptr32     void 
   +0x038 DeleteProcedure  : Ptr32     void 
   +0x03c ParseProcedure   : Ptr32     long 
   +0x040 SecurityProcedure : Ptr32     long 
   +0x044 QueryNameProcedure : Ptr32     long 
   +0x048 OkayToCloseProcedure : Ptr32     unsigned char
 
 

以上红色部分即可作为OBJECT_TYPE的特征,在查找对象的时候不直接比较OBJECT_TYPE的地址,而是按照地址找到OBJECT_TYPE_INITIALIZER,将之与*IoDriverObjectType的OBJECT_TYPE_INITIALIZER的xxxProcedure进行比较,相同即为DRIVER_OBJECT的OBJECT_HEADER。

方法2:
首先搜索内存中Type对象,然后搜索要找的内核对象,凡是size符合搜索的内核对象但是Type不符的,记录为可疑对象。

0902horn
关注
python 创建对象_Python程序计算创建对象的数量
cumtb2009的博客
07-08 787
python 创建对象We are implementing this program using the concept of classes and objects. 我们正在使用类和对象的概念来实现该程序。 Firstly, we create the Class with "Student" name with 1 class variable(counter) , 2 instanc...
031:山寨版istream_iterator
apple_55860091的博客
08-24 470
描述 模仿C++标准模板库istream_iterator用法,实现CMyistream_iterator使得程序按要求输出 #include <iostream> #include <string> using namespace std; template <class T> class CMyistream_iterator { // 在此处补充你的代码 }; int main() { int t; cin >> t; while.
遍历系统的所有ObjectTypeTypeIndex
weixin_33985679的博客
11-09 397
Windows内部有很多的对象类型,比如PROCESS类型,THREAD类型,FILE类型,LPC PORT类型,DEVICE类型等等,我们可以使用sysinternal提供的winobj工具来查看(win7 x86 sp1) 在编程的过程中我们有时候需要用到类型的索引(TypeIndex),由于在不同的操作系统版本中TypeIndex会发生改变,本文将教大家一种方法来遍历这些类型还有其相应...
进程创建时 ObOpenObjectByPointer 导致蓝屏
02-04 2168
找到一篇有关文章,先摘抄下来。剩下最后一段以后再翻译 原文地址:http://uninformed.org/index.cgi?v=1&a=5&p=5 进程执行的临界时段是指在新的进程对象实例被nt!ObCreateObject创建 和该进程对象被nt!ObInsertObject插入到进程对象类型表之间的时段。在该时段尝试获取进程的句柄是不安全的,比如使用nt!ObOpe
遍历Windows内核ObjectType
时空之中的灵魂
07-18 989
遍历Windows内核ObjectType
Python Crash Course-note9
geek_jerome的博客
04-18 337
文件和异常 读取文件 //digits.txt 3.14159265358979 //reader.py with open('digits.txt') as file_object: contents=file_object.read() print(contents) //OUTPUT 3.14159265358979 /space 后面有一个空格,是因为当rea...
山寨文化_美国“山寨文化”的技术含量.pdf
10-31
山寨文化_美国“山寨文化”的技术含量.pdf
山寨版flappy_bird源码
05-02
通过对山寨版Flappy Bird的源码进行深度分析,我们可以学习到如何构建游戏框架,处理用户输入,实现简单的物理模拟,以及进行碰撞检测等实用技巧。此外,通过对比原版和山寨版的差异,还可以了解到游戏优化和创新的...
山寨spring_ ioc容器
07-27
标题中的“山寨spring_ioc容器”指的是一个非官方的、模仿Spring框架实现的IoC(Inversion of Control,控制反转)容器。这个容器可能是由个人开发者或者小团队创建的,目的是为了学习Spring的核心机制,或者在某些...
当代大众文化-从“大话”到“山寨”_中国大众文化学会 考级.docx
01-21
“大话”文化与“山寨”文化作为当代大众文化的重要组成部分,不仅反映了技术进步和社会变迁的影响,也揭示了文化多样性和个性表达的重要性。它们之间的互动和发展,对于理解当今社会的文化现象具有重要意义。未来,...
Windows内核对象头部结构
yeshahayes的博客
09-19 1313
Windows中,内核对象由三部分组成,其中第一部分是由数个不确定的结构组成,第二部分就是结构头OBJECT_HEADER,第三部分则是对象体。后两部分容易确定,OBJECT_HEADER后48个字节就是对象体。第一部分则是完全隐藏起来的机制,而且Win7系统中OBJECT_HEADER里也没有了前面几个结构的偏移信息,所以需要具体研究一下这个字段的生成机制。 这个结构肯定是在ObCreateO
内核对象管理器学习笔记
ip1234pi的博客
10-09 400
Windows 内核对象学习笔记 对象组成 _HANDLE_HEADER +0x000 PointerCount : Int8B +0x008 HandleCount : Int8B +0x008 NextToFree : Ptr64 Void +0x010 Lock : _EX_PUSH_LOCK +0x018 TypeIndex : Uchar //global variable ObTypeIndex
OBJECT_TYPE结构
IT男也疯狂
07-14 3533
typedef struct _object_type_flags{ char CaseInsensitive : 1; char UnnamedObjectsOnly : 1; char UseDefaultObject : 1; char SecurityRequired : 1; char MaintainHandleCount : 1; char MaintainTypeLis
反调试技巧总结-原理和实现
weixin_34392435的博客
02-23 391
总结: 1. FindWindow。比如 FindWindowA("OLLYDBG", NULL); 2. EnumWindow函数调用后,系统枚举所有顶级窗口,为每个窗口调用一次回调函数。在回调函数中用 GetWindowText得到窗口标题,进行检测。 3. GetForeGroundWindow返回前台窗口(用户当前工作的窗口)。当程序被调试时,调用这个...
R3下取伪句柄表的几种方式
AperOdry的博客
04-07 1161
R3下取伪句柄表的几种方式 最近碰到一个简单的老游戏,看了一下它的防多开就是通过 CreateFileMapping 函数以只读 方式创建了个文件映射对象 就和互斥体一样,本来劫持个DLL hook下就完事了,但是发现只有几个陌生的DLL可劫持 重点在于这个DLL加载时候对多开的检测已经完成,这就十分尴尬了。。。只好通过远程关闭文件映射句柄来实现多开 然后发现既然DLL可以劫持,又再句柄创建完成...
优化批处理流程:自定义BatchProcessorUtils的设计与应用
凯哥Java的博客
09-15 574
本文将介绍一种自定义的批量数据处理工具类——BatchProcessorUtils类,它能够帮助开发者更方便地将一个大的数据集拆分成若干个小批次,并提供便捷的遍历接口。通过合理的批次划分,不仅可以提升程序的执行效率,还能有效地避免内存溢出等潜在的风险。对于那些需要频繁处理大批量数据的应用来说,这个工具无疑是一个值得考虑的选择。④:方法实现:包括了hasNext()方法判断是否还有未处理的数据,next()方法获取下一个批次的数据,以及add()和addAll()方法允许动态地向数据集中添加新的元素或集合。
递归的‘浅’理解
practice_warm的博客
09-15 900
就是“深入”,通过有限次“相同操作”,可以使解决的问题回到最简单的基本模型。就比如:要计算3的阶乘,就要深入到2的阶乘,最后深入到简单的1的阶乘,当然最后要通过回溯解决问题,这样就将复杂重复的问题通过有限步骤的递归调用,就能达到问题的简单的形式。:就是利用上一层的结果,来提供在本层中所缺少的参数。还拿3的阶乘举例子,在本层中,3要×2×1,即3前面所有数的乘积,但是2在本层的参数中没有给出,就只能从递归的返回值获取,进入下一层递归,没有。
Java迭代器Iterator和Iterable有什么区别?
sunyan5211314的博客
09-18 918
方法的实现方式是使用 for-each 循环遍历集合中的元素,对于每个元素,调用 Consumer 对象的 accept 方法执行指定的操作。原则上,只要一个 List 实现了 Iterable 接口,那么它就可以使用 for-each 这种方式来遍历,那具体该怎么遍历,还是要看它自己是怎么实现 Iterator 接口的。第一种我们略过,第二种用的是 Iterator,第三种看起来是 for-each,其实背后也是 Iterator,看一下反编译后的代码(如下所示)就明白了。
《C++移动语义:解锁复杂数据结构的高效之道》
最新发布
xy520521的博客
09-18 1111
在移动构造函数中,我们将源链表的头指针赋值给目标链表的头指针,并将源链表的头指针置为 nullptr,以确保源链表在移动后不再拥有资源。在移动赋值运算符中,我们首先清空目标链表,然后将源链表的头指针赋值给目标链表的头指针,并将源链表的头指针置为 nullptr。在移动构造函数中,我们将源树的根指针赋值给目标树的根指针,并将源树的根指针置为 nullptr,以确保源树在移动后不再拥有资源。在移动赋值运算符中,我们首先清空目标树,然后将源树的根指针赋值给目标树的根指针,并将源树的根指针置为 nullptr。
山寨手机:蓝海战略与技术创新
1. **技术创新**:山寨手机制造商敢于尝试将各种技术和设计组合在一起,尽管这可能导致侵权问题,但这些创新往往带来前所未有的功能体验。 2. **市场定位**:瞄准价格敏感且寻求多样化功能的消费者群体,提供性价比...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值