HOOK ObjectType 干涉文件访问

最新推荐文章于 2023-06-11 20:41:35 发布
最新推荐文章于 2023-06-11 20:41:35 发布
阅读量1.1k 收藏
点赞数
分类专栏: window系统内核编程 软件安全 文章标签: hook object attributes struct descriptor string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zacklin/article/details/7778825
版权
前几日在网上看到MJ0011大虾写的一篇《ObjectType HOOK干涉注册表操作(bypass icesword,gmer,NIAP,etc.)》的文章,感觉很有兴趣。MJ大虾的文章给出的代码主要是干涉注册表的。而ObjectType 可以干涉的不只是注册表,所以就想到用同样的方法去干涉文件的访问,举一反三嘛。

然后问题就出现了

用Windbg跟了一下,发现在pNewParseProcedure函数中出了问题。
本来是想通过ObjectName->Buffer得到打开的文件名,然后看其中有没有2.TXT这个字符串进行过滤的。但是我用Windbg看了看ObjectName->Buffer,貌似找不到我打开文件的文件名。
  1. #include <ntddk.h>
  2. #define MAX_PATH 266
  3. #define NUMBER_HASH_BUCKETS 37
  4. #define LINK_NAME L"\\DosDevices\\StopOpenLink"
  5. #define DEVICE_NAME L"\\Device\\StopLinkName"
  6. PVOID pOldParseProcedure = NULL;


  9. typedef struct _OBJECT_DIRECTORY_ENTRY {
  10.     struct _OBJECT_DIRECTORY_ENTRY *ChainLink;
  11.     PVOID Object;
  12. } OBJECT_DIRECTORY_ENTRY, *POBJECT_DIRECTORY_ENTRY;

  14. typedef struct _OBJECT_DIRECTORY {
  15.     struct _OBJECT_DIRECTORY_ENTRY *HashBuckets[ NUMBER_HASH_BUCKETS ];
  16.     struct _OBJECT_DIRECTORY_ENTRY **LookupBucket;
  17.     BOOLEAN LookupFound;
  18.     USHORT SymbolicLinkUsageCount;
  19.     struct _DEVICE_MAP *DeviceMap;
  20. } OBJECT_DIRECTORY, *POBJECT_DIRECTORY;

  22. typedef struct _DEVICE_MAP {
  23.     ULONG ReferenceCount;
  24.     POBJECT_DIRECTORY DosDevicesDirectory;
  25.     ULONG DriveMap;
  26.     UCHAR DriveType[ 32 ];
  27. } DEVICE_MAP, *PDEVICE_MAP;


  30. typedef struct _OBJECT_TYPE_INITIALIZER {
  31.   USHORT Length;
  32.   BOOLEAN UseDefaultObject;
  33.   BOOLEAN CaseInsensitive;
  34.   ULONG InvalidAttributes;
  35.   GENERIC_MAPPING GenericMapping;
  36.   ULONG ValidAccessMask;
  37.   BOOLEAN SecurityRequired;
  38.   BOOLEAN MaintainHandleCount;
  39.   BOOLEAN MaintainTypeList;
  40.   POOL_TYPE PoolType;
  41.   ULONG DefaultPagedPoolCharge;
  42.   ULONG DefaultNonPagedPoolCharge;
  43.   PVOID DumpProcedure;
  44.   PVOID OpenProcedure;
  45.   PVOID CloseProcedure;
  46.   PVOID DeleteProcedure;
  47.   PVOID ParseProcedure;
  48.   PVOID SecurityProcedure;
  49.   PVOID QueryNameProcedure;
  50.   PVOID OkayToCloseProcedure;
  51. } OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;


  54. typedef struct _OBJECT_TYPE {
  55.   ERESOURCE Mutex;
  56.   LIST_ENTRY TypeList;
  57.   UNICODE_STRING Name; // Copy from object header for convenience
  58.   PVOID DefaultObject;
  59.   ULONG Index;
  60.   ULONG TotalNumberOfObjects;
  61.   ULONG TotalNumberOfHandles;
  62.   ULONG HighWaterNumberOfObjects;
  63.   ULONG HighWaterNumberOfHandles;
  64.   OBJECT_TYPE_INITIALIZER TypeInfo;
  65. #ifdef POOL_TAGGING
  66.   ULONG Key;
  67. #endif //POOL_TAGGING
  68. } OBJECT_TYPE, *POBJECT_TYPE;
  69. typedef struct _OBJECT_CREATE_INFORMATION {
  70.   ULONG Attributes;
  71.   HANDLE RootDirectory;
  72.   PVOID ParseContext;
  73.   KPROCESSOR_MODE ProbeMode;
  74.   ULONG PagedPoolCharge;
  75.   ULONG NonPagedPoolCharge;
  76.   ULONG SecurityDescriptorCharge;
  77.   PSECURITY_DESCRIPTOR SecurityDescriptor;
  78.   PSECURITY_QUALITY_OF_SERVICE SecurityQos;
  79.   SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
  80. } OBJECT_CREATE_INFORMATION, *POBJECT_CREATE_INFORMATION;



  84. typedef struct _OBJECT_HEADER {
  85.   LONG PointerCount;
  86.   union {
  87.     LONG HandleCount;
  88.     PSINGLE_LIST_ENTRY SEntry;
  89.   };
  90.   POBJECT_TYPE Type;
  91.   UCHAR NameInfoOffset;
  92.   UCHAR HandleInfoOffset;
  93.   UCHAR QuotaInfoOffset;
  94.   UCHAR Flags;
  95.   union
  96.   {
  97.     POBJECT_CREATE_INFORMATION ObjectCreateInfo;
  98.     PVOID QuotaBlockCharged;
  99.   };
  100.   
  101.   PSECURITY_DESCRIPTOR SecurityDescriptor;
  102.   QUAD Body;
  103. } OBJECT_HEADER, *POBJECT_HEADER;
  104. POBJECT_TYPE pObHeader= NULL;
  105. NTSTATUS pNewParseProcedure(POBJECT_DIRECTORY RootDirectory,
  106.             POBJECT_TYPE ObjectType,
  107.             PACCESS_STATE AccessState,
  108.             KPROCESSOR_MODE AccessCheckMode,
  109.             ULONG Attributes,
  110.             PUNICODE_STRING ObjectName,
  111.             PUNICODE_STRING RemainingName,
  112.             PVOID ParseContext ,
  113.             PSECURITY_QUALITY_OF_SERVICE SecurityQos ,
  114.             PVOID *Object)
  115. {
  116.   NTSTATUS ntStatus = STATUS_SUCCESS;
  117.   WCHAR wOpenName[MAX_PATH];
  118.   RtlCopyMemory(wOpenName,ObjectName->Buffer,ObjectName->MaximumLength);
  119.   
  120.   if (wcsstr(wOpenName,L"2.TXT"))
  121.   {
  122.     return STATUS_OBJECT_NAME_NOT_FOUND;
  123.   }
  124.   __asm
  125.   {
  126.       push eax
  127.       push Object
  128.       push SecurityQos
  129.       push ParseContext
  130.       push RemainingName
  131.       push ObjectName
  132.       push Attributes
  133.       movzx eax, AccessCheckMode
  134.       push eax
  135.       push AccessState
  136.       push ObjectType
  137.       push RootDirectory
  138.       call pOldParseProcedure
  139.       
  140.       mov ntStatus, eax
  141.       pop eax
  142.       
  143.   }
  144.   return ntStatus;

  146. }


  149. NTSTATUS InstallHook()
  150. {
  151.   NTSTATUS  ntStatus;
  152.   HANDLE hFile;
  153.   UNICODE_STRING StName;
  154.   OBJECT_ATTRIBUTES obAttrib;
  155.   IO_STATUS_BLOCK ioStaBlock;
  156.   PVOID pObject = NULL;

  158.   KdPrint(("it start now!\n"));
  159.   RtlInitUnicodeString(&StName,L"\\DosDevices\\C:\\1.txt");
  160.   InitializeObjectAttributes(&obAttrib,&StName,OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE ,\
  161.     0,NULL);
  162.   ntStatus = ZwOpenFile(&hFile,GENERIC_ALL,&obAttrib,&ioStaBlock,\
  163.     0,FILE_NON_DIRECTORY_FILE);
  164.   if (!NT_SUCCESS(ntStatus))
  165.   {
  166.     KdPrint(("File Not Open\n"));
  167.     return ntStatus;
  168.   }
  169.   KdPrint(("File Open\n"));
  170.   ntStatus = ObReferenceObjectByHandle(hFile,GENERIC_ALL,NULL,KernelMode,&pObject,NULL);
  171.   if (!NT_SUCCESS(ntStatus))
  172.   {
  173.     KdPrint(("Object Not Open\n"));
  174.     return ntStatus;
  175.   }
  176.   KdPrint(("Object Open\n"));
  177.   __asm
  178.   {
  179.     cli;
  180.     mov eax, cr0;
  181.     and eax, not 10000h;
  182.     mov cr0, eax;
  183.   }
  184.   __asm
  185.   {
  186.     push eax;
  187.     mov eax,pObject;
  188.     mov eax,[eax-10h];
  189.     mov pObHeader,eax;
  190.     pop eax;
  191.   }
  192.   pOldParseProcedure = pObHeader->TypeInfo.ParseProcedure;
  193.   if (!MmIsAddressValid(pOldParseProcedure))
  194.   {
  195.     ObDereferenceObject(pObject);
  196.     ntStatus = ZwClose(hFile);
  197.     return ntStatus;
  198.   }

  200.   pObHeader->TypeInfo.ParseProcedure = pNewParseProcedure;
  201.   __asm
  202.   {
  203.     mov eax, cr0;
  204.     or eax, 10000h;
  205.     mov cr0, eax;
  206.     sti;
  207.   }
  208.   ntStatus = ZwClose(hFile);
  209.   return ntStatus;
  210. }

  212. NTSTATUS soDispatch(IN PDEVICE_OBJECT pDeviceObject,IN PIRP pIrp)
  213. {
  214.   NTSTATUS ntStatus = STATUS_SUCCESS;
  215.   PIO_STACK_LOCATION pIrpSt = NULL;
  216.   pIrpSt = IoGetCurrentIrpStackLocation(pIrp);

  218.   ntStatus = pIrp->IoStatus.Status;
  219.   IoCompleteRequest(pIrp,IO_NO_INCREMENT);
  220.   return ntStatus;
  221. }
  222. void soUnload(IN PDRIVER_OBJECT  DriverObject)
  223. {
  224.   UNICODE_STRING uTempString;
  225.   
  226.   __asm
  227.   {
  228.     cli;
  229.     mov eax, cr0
  230.     and eax, not 10000h
  231.     mov cr0, eax
  232.   }
  233.   pObHeader->TypeInfo.ParseProcedure = pOldParseProcedure;
  234.   __asm
  235.   {
  236.     mov eax, cr0;
  237.     or eax, 10000h
  238.     mov cr0, eax;
  239.     sti;
  240.   }
  241.   RtlInitUnicodeString(&uTempString,LINK_NAME);
  242.   IoDeleteSymbolicLink(&uTempString);
  243.   IoDeleteDevice(DriverObject->DeviceObject);
  244. }


  247. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath )
  248. {
  249.   NTSTATUS ntStatus = STATUS_SUCCESS;
  250.   UNICODE_STRING uLinkName;
  251.   UNICODE_STRING uDeviceName;
  252.   PDEVICE_OBJECT ObDevice;

  254.   RtlInitUnicodeString(&uDeviceName,DEVICE_NAME);
  255.   ntStatus = IoCreateDevice(DriverObject,0,&uDeviceName,FILE_DEVICE_UNKNOWN,0,FALSE,&ObDevice);
  256.   if (!NT_SUCCESS(ntStatus))
  257.   {
  258.     return ntStatus;
  259.   }
  260.   RtlInitUnicodeString(&uLinkName,LINK_NAME);
  261.   ntStatus = IoCreateSymbolicLink(&uLinkName,&uDeviceName);
  262.   if (!NT_SUCCESS(ntStatus))
  263.   {
  264.     return ntStatus;
  265.   }
  266.   DriverObject->MajorFunction[IRP_MJ_CREATE] = soDispatch;
  267.   DriverObject->MajorFunction[IRP_MJ_CLOSE] = soDispatch;
  268.   DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = soDispatch;

  270.   DriverObject->DriverUnload = soUnload;
  271.   InstallHook();

  273.   return ntStatus;

  275. }
复制代码

实在没办法了上论坛请教各位。请各位赐教!
zacklin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
objecthook_objecthook_
09-30
hook文件对象回调函数 没有做任何事只是打印全路径
ObjectHeader、ObjectTypeObjectHook的学习
weixin_30887919的博客
03-23 446
  0x01 前言   之前研究RootKit技术,发现了对象钩子这个概念,一直不知道是什么,然后在网上搜,最先找到的是sudami的一篇文章,于是跟着大牛的脚步研究,其中也参考<内核情景分析>,这本书真是每次看每次有收获。下面记录一下学习过程。   0x02 OBJECT_HEADER结构   这是对象的数据结构的形态,其中OBJECT_HEADER...
RootKit 应用之[一] object hook
weixin_30904593的博客
09-23 157
标 题: RootKit 应用之[一] object hook作 者: combojiang时 间: 2008-01-08,11:43链 接: http://bbs.pediy.com/showthread.php?t=57900今天是2008年1月8号,一个非常响亮的日子,今天我们将开始rootkit实战之旅。第一篇是objecthook.这篇文章来源于前段时间我逆向的机器狗代码,前段时间...
win0环异常处理与Object-Hook
weixin_33943347的博客
06-22 102
0环下没有veh有seh #include <ntifs.h> VOID DriverUnload(PDRIVER_OBJECT pDriver); NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pPath) { UNREFERENCED_PARAMETER(pPath); DbgBreak...
Windows驱动开发学习记录-ObjectType HookObjectType结构相关分析
时空之中的灵魂
06-11 341
其中用不着EPROCESS的结构,获取这个的地址是为了获取_OBJECT_HEADER的地址,在XP环境的代码中可以用以下来获取到_OBJECT_HEADER地址,因为_OBJECT_HEADER结构中的Body部分就是获取的对应的对象,如EPROCESS。在64位系统上 _OBJECT_HEADER中并没有字段直接包含_OBJECT_TYPE结构,而是一个索引,索引的是一个名叫 ObTypeIndexTable的表,这个表是一个包含所有ObjectType的表结构,详细可见我另一篇文章。
易语言 拦截文件读写 APIhook
05-06
易语言 拦截文件读写 APIhook 拦截打开文件 拦截文件读入 拦截取文件长度 拦截文件读写位置
用API HOOK实现禁止复制文件的功能
05-12
用API HOOK实现禁止复制文件
VB API Hook禁止删除文件
最新发布
07-09
VB API Hook禁止删除文件
易语言使用APIhook进行拦截文件读写
09-02
易语言使用APIhook进行拦截文件读写,拦截文件读写,使用apihook
内核Hook资料-Object HOOK
12-31
内核Hook资料-Object HOOK
保护内核对象—对象挂钩(Object Hook
qq_42814021的博客
10-17 1386
内核对象 每个内核对象实际上都是一个内存块,它是由操作系统内核分配的,并且只能由操作系统内核访问。这个内存块是一个数据结构,它的成员维护着和这个对象相关的信息。但是应用程序不能直接访问和修改这些数据结构,它们需要通过句柄。 先通过系统调用打开/创建内核对象,让当前进程与目标对象之间建立起连接,此时就会返回一个句柄。然后调用Windows提供的一系列API函数就能访问这些内核对象。所以句柄其实相当于一个接口,Ring3层通过它来访问Ring0层的一些数据结构。 内核对象由对象头和对象体组成。 当应用程序打开
勘误 win7x64下对OpenProcedure的ObjectHook
zhuhuibeishadiao
06-10 2738
那个时候刚接触ObjectHook 我对进程对象下的OpenProcedure进行HOOK 保护程序typedef LONG32 (NEAR CDECL FUNCT_005B_0FC1_OpenProcedure) (enum _OB_OPEN_REASON, CHAR, UINT64 /*struct _EPROCESS**/, UINT64 /*VOID**/, UINT64 /*ULONG
ObjectC Hook函数的实现与实战
yixiangboy的博客
05-21 3721
一、简介在一个类没有实现源码的情况下,如果你要改变一个类的实现方法,你可以选择重继承该类,然后重写方法,或者使用Category类别名暴力抢先的方式。但是这两种方式,都需要我们在使用的时候改变我们的编程方式,或者继承该类,或者需要引入Category。下面推出的一种方式,不需要我们修改我们编写逻辑的代码,就能实现函数的Hook功能,那就是RunTime中的Method Swizzling—交换方法的
对象管理---2
For Geek
05-24 493
IopCreateObjectTypes 以I/O子系统为例,其初始化过程中创建了Adapter,Controller,Device,Driver,IoCompletion,File等对象类型。 BOOLEAN INIT_FUNCTION NTAPI IopCreateObjectTypes(VOID) { OBJECT_TYPE_INITIALIZER ObjectTypeInitial...
驱动开发:内核枚举进程与线程ObCall回调
CSDN
10-22 8788
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
OBJECT_TYPE结构
IT男也疯狂
07-14 3497
typedef struct _object_type_flags{ char CaseInsensitive : 1; char UnnamedObjectsOnly : 1; char UseDefaultObject : 1; char SecurityRequired : 1; char MaintainHandleCount : 1; char MaintainTypeLis
windows内核开发学习笔记四十一:内核对象管理机理
jyl_sh的专栏
07-03 428
对象管理器是执行体中的组件,主要管理执行体对象。执行体对象也可能封装了一个或多个内核对象。
遍历windows驱动遍历对象目录的对象
03-05 1907
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书名:wind...
object_hook
05-23
`object_hook` 是在 Python 的 `json` 模块中的一个可选参数,它允许我们在将 JSON 数据转换为 Python 对象时对其进行自定义处理。具体来说,`object_hook` 是一个回调函数,它接收一个字典作为参数,返回一个 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值