无硬编码获取所有对象类型地址

最新推荐文章于 2023-03-21 17:32:41 发布
最新推荐文章于 2023-03-21 17:32:41 发布
阅读量2k 收藏 2
点赞数
分类专栏: 驱动学习 杂谈 文章标签: 内核对象 获取内核对象
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51295006
版权
本文探讨了如何在不使用硬编码的情况下,通过ObGetObjectType函数获取内核对象的类型地址。文章指出该函数依赖TypeIndex从ObTypeIndexTable查找,并以Win7 x64为例展示了相关的反汇编代码。通过修改rcx寄存器的值,可以动态获取对象类型的地址。最后,作者提供了封装好的解决方案。
摘要由CSDN通过智能技术生成 
NTKERNELAPI PVOID NTAPI
ObGetObjectType(
      IN PVOID pObject
      );


void GetObjectTypeWin7x86()
{
	BOOLEAN i = 2;
	ULONG	j= 2;
	ULONG64 ObjectType;
	//
	while (ObGetObjectType(&i+0xC))
	{
		ObjectType = ObGetObjectType(&i + 0xC);//C来自于ObGetObjectType反汇编处的eax-0xC  win7 x86
		KdPrint(("对象类型[%d]=%wZ\n", j, ObjectType+0x8));
		i++;
		j++;
	}
			/*获取TypeIndex的值,解释一下为什么是减去0Ch。正常的计算应该是:
			object地址-Object_header的大小+TypeIndex的偏移,所以有:
			eax-0x18h+0x0Ch 即为 eax – 0x0Ch
			82a8f3fe 0fb640f4        movzx   eax,byte ptr [eax-0Ch]
			根据索引值在ObTypeIndexTable数组中找到对应的ObjectType。
			url:http://www.blogfshare.com/win7-obtypeindextable.html
			*/
}

void GetObjectTypeWin7x64()//0x18来的原理同上
{
	BOOLEAN i = 2;
	ULONG	j = 2;
	ULONG64 ObjectType;
	UNICODE_STRING ObjectName;
	RtlInitUnicodeString(&Obj
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
xp与win7中_OBJECT_HEADER的区别,_OBJECT_TYPE获取方法
点点灵犀
04-26 2759
在win7中 _OBJECT_HEADER变化比较大。不能直接取出_OBJECT_TYPE对象,而是使用对象ObTypeIndexTable中的索引来引用_OBJECT_TYPE。 下面使用windbg来掩饰xp和win7获取_OBJECT_TYPE的方法。 xp系统获取方法 使用!object查看一个文件对象信息 lkd> !object 8914b2c0 Object: 8914
遍历Windows内核ObjectType
时空之中的灵魂
07-18 989
遍历Windows内核ObjectType
Win7 Object_Header之TypeIndex解析,ObGetObjectType使用
求索
03-01 2403
在暴力搜索内存进程对象反隐藏进程这篇文章中,我们提到: Object Header偏移0×008处Type成员为对象类型值,相同类型对象具有相同的值.  自Window  7开始, _OBJECT_HEADER及其之前的一些结构发生了变化.  lkd> dt _object_header nt!_OBJECT_HEADER +0×000 PointerCount      : I
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 1443
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
x64 Global HANDLE 全局句柄表
Mikasys的博客
10-20 854
全局句柄表 0: kd> dq PspCidTable fffff800`04070408 fffff8a0`00004880 00000000`00000000 fffff800`04070418 ffffffff`80000020 00000000`00000101 fffff800`04070428 ffffffff`80000298 ffffffff`80000024 fffff800`04070438 00000000`00000000 00000000`00000113 fffff
iOS视频硬编码技术
最新发布
yinshipin007的博客
03-21 735
这种方法的兼顾了以上两种方法的优点:在图像内容静止时,节省带宽,有Motion发生时,利用前期节省的带宽来尽可能的提高图像质量,达到同时兼顾带宽和图像质量的目的。通俗地理解,例如一个视频中,前一秒画面跟当前的画面内容相似度很高,那么这两秒的数据是不是可以不用全部保存,只保留一个完整的画面,下一个画面看有哪些地方有变化了记录下来,拿视频去播放的时候就按这个完整的画面和其他有变化的地方把其他画面也恢复出来。软编码:使用CPU进行编码,如常见C/C++代码,编译生成二进制文件,速度相对较慢。
Android音频视频硬编码和解码_MediaCodec
12-26
1. 创建MediaCodec对象:通过指定编码或解码的MIME类型(如"video/avc" for H.264视频或"audio/mp4a-latm" for AAC音频)。 2. 输入数据:对解码器来说,输入的是编码后的字节流;对编码器来说,输入的是原始的音...
hardcoded-iolink:Arduino的硬编码IO-Link
04-01
在C++编程中,硬编码意味着将特定的值或配置直接写入源代码,而不是通过变量、配置文件或用户输入来动态获取。这样做虽然简单快捷,但可能导致代码的可移植性和可维护性降低,因为当硬件配置改变时,需要修改大量的...
iOS音视频开发二 iOS硬编码实现
HatsuneMikuFans的博客
09-02 936
简述 上一章,我们介绍了iOS采集相关细节。这一次,我来介绍下iOS硬编码相关知识。 首先,为什么需要编码,在上一次中,我们提到了一个东西,CMSampleBuffer,这个既可以用来封装ImageBuffer,也可以用于存储裸流数据,是一个通用的结构体。我先介绍一下这个是什么东西,之后就明白为啥需要编码了。 初识CVPixelBufferRef 在我们通常的颜色世界里面,我们都知道RGB三原色,使用这三种颜色的混合搭配,可以组成世界上的绝大多数色彩。 在计算机里面,我们称这种格式为kCVPixelForm
ntapi.h ntdll.lib WSPiApi.h
08-26
ntapi.h ntdll.lib WSPiApi.h 下载
Win7 OBJECT_HEADER之TypeIndex解析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1277
Win7 OBJECT_HEADER之TypeIndex解析 2010年08月09日 13:30 在Windows系统的对象管理中,为了能够从对象获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里,这个表叫做ObTypeIndexTa
ObjectType_Callback探索
若面朝大海边竹妮春暖花开的博客
02-28 1213
使用PCHunter工具查看object钩子时发现有一种Hook是ObjectType_Callback,Object类型为Process WRK中的全局类型对象变量中没有这一类型 查看ObTypeIndexTable表,对比有HOOK和无HOOk的情况下,看元素是否有增加,如果是自创类型,在这个表里,应该有增加一项 ObTypeIndexTable在XP系统中不存在,前两项是无效的 当有HOO...
关于PspCidTable
zfdyq
10-20 920
PspCidTable为一个全局变量,其格式与普通的句柄表是完全一样的. 但它与每个进程私有的句柄表有以下不同:  1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID  2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)  3.PspCidTable
编写驱动拦截NT的API实现隐藏文件目录
TaShin的专栏
09-23 1529
      目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTAPI来实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库中封装的。其中实现查找文件和目录的API接口是ZwQueryDirec
python中object是什么类型_深入源码解析Python中的对象类型
weixin_39790738的博客
11-24 383
对象对象, 在C语言是如何实现的?Python中对象分为两类: 定长(int等), 非定长(list/dict等)所有对象都有一些相同的东西, 源码中定义为PyObject和PyVarObject, 两个定义都有一个共同的头部定义PyObject_HEAD(其实PyVarObject有自己的头部定义PyObject_VAR_HEAD, 但其实际上用的也是PyObject_HEAD).源码位置: I...
驱动拦截NT的API实现隐藏木马客户端
天涯专栏
03-03 427
目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTAPI来实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库中封装的。其中实现查找文件和目录的API接口是ZwQueryDirectoryFi
x64 ASM 常用汇编指令
热门推荐
Life runs on code
08-28 2万+
语法习惯 立即数,$ 开头 寄存器,% 开头 取地址里面的值,偏移量(%寄存器)// 除了 lea 取地址指令)外,lea就是取地址 load effecive address 整形操作通用后缀,后缀 [b w l q 1 2 4 8] byte word l… quadruple, 表示多少字节 浮点指令还有三个 [s d t 4 8 16] single double extended (修饰精
线程局部存储(TLS)
weixin_34409703的博客
04-10 420
线程局部存储,Part 1:概述 线程局部存储,Part 2:显式TLS 线程局部存储,Part 3:编译器和链接器对隐式TLS的支持 线程局部存储,Part 4:访问__declspec(thread)变量 线程局部存储,Part 5:加载器对__declspec(thread)变量的支持(进程初始化阶段) 线程局部存储,Part 6:Windows Server...
C#高级编程:枚举与对象类型的深入理解
`Enum.GetValues`和`Enum.GetUnderlyingType`方法用于获取枚举的所有可能值和底层数据类型。 另一方面,C#中的对象类型概念主要涉及类和结构。类是面向对象编程的基础,它定义了一组属性(数据)和方法(操作数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值