更深入的保护 - 从ssdt到ObOpenObjectByPointer

最新推荐文章于 2023-07-02 14:06:49 发布
最新推荐文章于 2023-07-02 14:06:49 发布
阅读量982 收藏
点赞数
文章标签: 编译器 access object c xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhq445078388/article/details/7693344
版权

/*注意这里的所有偏移仅为xp sp3中的*/

我在之前的一篇文章提到了监控进程启动的方法


同理可以监控进程结束 打开  我之前使用ssdt+inline的方式保护我自己的进程不被结束
但是显然太单薄了 这只能拦截r3的动作 以及r0直接使用ZWopenprocess的动作 
一旦使用了更底层的 将无能为力


所以我尝试跟踪ntopenprocess来看看他到底怎么获取句柄的
一开始  我们就不通过ssdt+服务号的方式了 


直接 u openprocess


我们一直跟踪到 openprocess+0x224的地方 发现这里是一个e8的call
我这里通过指令dd看到的代码是fefe7de8 各个机器可能不一样
但是末尾肯定是个e8
u看到的是


805c261c e87dfefeff      call    nt!ObOpenObjectByPointer (805b249e)


也就是说 这是call到ObOpenObjectByPointer这个函数
我记得之前有个函数是通过函数名取得地址的 但是我这里还是通过自己算到然后取出来的方式


e8这种call的规律是 自己的地址+代码地址+5=目标地址


也就是说这里 是0x805c261c+0xfffefe7d + 5,得到的是1805B249E
一个address是4个字节 也就是8个16位的数 所以最高的那个1 会溢出
也就是说会被无视掉,最终我们得到的是805B249E这个地址
这与windbg算到的地址是相同的 为了验证 我们u过去


 u 805B249E
nt!ObOpenObjectByPointer:
805b249e 8bff            mov     edi,edi
805b24a0 55              push    ebp
805b24a1 8bec            mov     ebp,esp
805b24a3 81ec94000000    sub     esp,94h


好的 符号文件告诉我们这里确实是ObOpenObjectByPointer的地址


而我们通过逆向n多程序得到的经验告诉我们编译器喜欢在开头加上
mov     edi,edi 以及保存ebp 并将esp作为ebp


而这里也符合这个特征


ObOpenObjectByPointer的原型是:
NTSTATUS ObOpenObjectByPointer(  __in      PVOID Object,
 __in      ULONG HandleAttributes,
__in_opt  PACCESS_STATE PassedAccessState,
__in      ACCESS_MASK DesiredAccess,
__in_opt  POBJECT_TYPE ObjectType,
__in      KPROCESSOR_MODE AccessMode,
__out     PHANDLE Handle);


第一个参数是一个指向一个EPROCESS类型的结构体的指针
虽然他的类型是空
但是这不妨碍我们 根据系统来获取进程pid所在偏移直接read出来就可以了
zhq445078388
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hook ObOpenObjectByPointer/ReadMem/writemem/kiattach,debugport!->0
~~~jesse的专栏
06-18 2381
<br /><br />#include "getSSDTfun.h"<br /> <br />//#include "HookShadowSSDT.h"<br /> <br />VOID InitCallNumber();<br />VOID UnloadDriver(IN PDRIVER_OBJECT DriverObject);<br />NTSTATUS  HideProcess_Create(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);<br />NT
ObOpenObjectByPointer获取进程句柄
水墨画
12-20 4534
内核函数:根据进程id获取进程句柄NTSTATUS  ObOpenObjectByPointer(    IN PVOID  Object,    IN ULONG  HandleAttributes,    IN PACCESS_STATE  PassedAccessState OPTIONAL,    IN ACCESS_MASK  DesiredAccess,    IN POBJECT_T
进程创建时 ObOpenObjectByPointer 导致蓝屏
02-04 2119
找到一篇有关文章,先摘抄下来。剩下最后一段以后再翻译 原文地址:http://uninformed.org/index.cgi?v=1&a=5&p=5 进程执行的临界时段是指在新的进程对象实例被nt!ObCreateObject创建 和该进程对象被nt!ObInsertObject插入到进程对象类型表之间的时段。在该时段尝试获取进程的句柄是不安全的,比如使用nt!ObOpe
驱动开发:内核中进程与句柄互转
Gefangenes的博客
07-02 147
在Windows内核中,该函数接受一个指向对象的指针(这里为EProcess结构体的指针),以及所需的访问权限和对象类型,并返回对应的。内核函数,传入进程句柄和信息类别作为参数,函数返回有关指定进程的信息,包括进程PID。内核函数,传入PID作为参数,函数返回对应进程的句柄HANDLE。函数打开进程,如果函数执行成功,将返回进程句柄HANDLE,否则返回NULL。此函数会将返回的句柄添加到当前进程的句柄表中,因此在使用完毕后,需要使用。函数查询进程基本信息,如果函数执行成功,将返回进程PID,否则返回0。
易语言多进程保护工具-免SSDT源码,易语言多进程保护工具-高级版
08-22
恒云雨驱动易语言源码系统结构:发送指令,刷新进程_,取内存变量地址_,创建快照_,第一个_,下一个_,关闭对象_,OpenProcess,TerminateProcess,取当前进程标识符_,ShellExecuteA,发送指令,刷新进程_,取
SSDT.rar_SSDT-HOOK_ssdt
09-19
1. **获取SSDT地址**:在内核模式下,可以通过系统结构体(如KPRCB或KeServiceDescriptorTable)获取到SSDT的基地址。 2. **备份原始服务入口**:在挂钩前,必须保存原函数指针,以便在需要时恢复原始行为。 3. **...
SSDT-Setup-CHS
02-22
SSDT-Setup-CHS.exe SSDT-Setup-CHS.exe SSDT-Setup-CHS.exe
恒云雨反蓝屏模块-免ssdt源码
05-27
恒云雨反蓝屏模块-免ssdt源码。此模块您可以不使用但蓝屏别找我.此模块集成了最高指令系统.此模块不是用于防止任何蓝屏的东西。但是使用他开发驱动会阻止些错误参数。因为大家还不是很熟悉恒云雨驱动怎么用。所以我...
相当完整反汇编以及OD及CE的学习资料~
07-16
相当完整反汇编以及OD及CE的学习资料
bosd(win10制造蓝屏+开机自启)
06-26
直接运行就会蓝屏
深入分析Win7的对象引用跟踪机制
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1406
深入分析Win7的对象引用跟踪机制 2010年09月12日 19:34 Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数,易于找出对象使用中的“泄漏”(即Refrence和Derefrence次数不匹配)。 在Win7中,以下所有不带Tag的函数均使用一个默认的Tag("tlfD")直接调用带Tag参数
内存填零杀进程
小驹的专栏
11-04 4442
内存填零杀进程效果:可以杀掉360的傀儡进程zhudongfangyun.exe但杀360tray.exe时会卡死系统,不知道360tray做了如何保护...c代码:PHYSICAL_ADDRESS g_physicalPage;VOID DestoryProess(ULONG eproc){ ULONG ulEndAddress = (ULONG)MmSystemRangeStart; PHYS
过NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2078
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
最新绕过TX驱动保护TesSafe.sys方法
ccx_john的专栏
01-07 4163
前段时间看过 wanleidawa 兄弟发的帖子 【原创】搞定QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys,给我启发很大。 不过很多人可能对上面的内容不太能理解。我先简单说下他那里的意识,然后在描述下新的方法,来饶过现在的保护。 大家可以使用 反ROOTKIT程序22中文\Yas 来查看被HOOK的函数。这里还要插入一个小话题,就是关于驱动开发环境的搭建,当初也郁闷了我将近一
windows内核情景分析---内核对象
maomao171314的专栏
04-04 2131
写过Windows应用程序的朋友都常常听说“内核对象”、“句柄”等术语却无从得知他们的内核实现到底是怎样的, 本篇文章就揭开这些技术的神秘面纱。 常见的内核对象有: Job、Directory(对象目录中的目录)、SymbolLink(符号链接),Section(内存映射文件)、Port(LPC端口)、IoCompletion(Io完成端口)、File(并非专指磁盘文件)、同步对象(Mutex
内核程序中进程的pid,handle,eprocess之间相互转换的方法
whatday的专栏
09-10 5691
在win32内核程序开发中,我们常常需要取得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pidhandleeprocess相互转换的方法会大大提高我们的开发效率。 以下就是我自己在实际开发中总结出来的转换方法,在此记录下来,以供需要的朋友参考。 1、pid->handle OBJECT_ATTRIBUTES Objec
ssdt-pnlf-cfl.aml 下载
最新发布
01-31
ssdt-pnlf-cfl.aml是一个ACPI补丁文件,通常用于解决在黑苹果(Hackintosh)上使用Intel Coffee Lake处理器时的亮度调节问题。 在黑苹果上,由于苹果电脑硬件与非苹果电脑硬件存在差异,因此需要通过一些补丁文件来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值