勘误 win7x64下对OpenProcedure的ObjectHook

最新推荐文章于 2023-06-11 20:41:35 发布
最新推荐文章于 2023-06-11 20:41:35 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: 驱动学习 杂谈 文章标签: ObjectHook x64 ObjectHook 进程保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51627912
版权

那个时候刚接触ObjectHook

我对进程对象下的OpenProcedure进行HOOK 保护程序

OBJECT_TYPE->OBJECT_TYPE_INITIALIZER ->OpenProcedure


帖子发在了看雪

http://bbs.pediy.com/showthread.php?t=203767

那个时候理解错了 应该rsp+28h 我是除了8 = 5 要在4个寄存器 一共是9个参数

那天写完测试后没有蓝屏,就放下了

前几天,我给学校弄教学程序保护的时候用了此方法,

发现蓝屏了,于是回来看了看

才发现自己SB了

这个OpenProcedure历程的参数就是5个(IDA解析是5个)(但符号解析工具是6个)

IDA解析:

signed __int64 __fastcall PspProcessOpen(__int64 a1, char a2, __int64 a3, __int64 a4, __int64 a5)

符号解析 

typedef LONG32 (NEAR CDECL FUNCT_005B_0FC1_OpenProcedure) (enum _OB_OPEN_REASON, CHAR, UINT64 /*struct _EPROCESS**/, UINT64 /*VOID**/, UINT64 /*ULONG32**/, ULONG32);


typedef enum _OB_OPEN_REASON  // 5 elements, 0x4 bytes
{
    ObCreateHandle    = 0 /*0x0*/,
    ObOpenHandle      = 1 /*0x1*/,
    ObDuplicateHandle = 2 /*0x2*/,
    ObInheritHandle   = 3 /*0x3*/,
    ObMaxOpenReason   = 4 /*0x4*/
}OB_OPEN_REASON, *POB_OPEN_REASON;


保险期限,我使用了6个参数进行HOOK

代码如下:

代码有很多不严谨的地方,我是测试写的,如果需要应用到真正的软件中,请务必严谨一些

strstr是很危险的,当如很多时候不是判断文件名,Hook的时候请使用安全的hook方式,否则一定几率蓝屏,最好使用原子操作

#include "ntifs.h"


typedef LONG32 (*PSPPROCESSOPEN) (__int64 a1, CHAR a2, UINT64 eprocess/*struct _EPROCESS**/, UINT64 tagEprocess/*VOID**/, UINT64 a5 /*ULONG32**/, ULONG32 a6);

PSPPROCESSOPEN g_org_pspopenprocess = NULL;

NTSTATUS MyPspProcessOpen(__int64 a1, char a2, UINT64 eprocess, UINT64 tagEprocss, UINT64 a5,ULONG32 a6)
{
	if(strstr((char*)tagEprocss+0x2e0,"haha.exe")!=0)
	{
		if(strstr((char*)eprocess+0x2e0,"explorer.exe")!=0 ||
			strstr((char*)eprocess+0x2e0,"csrss.exe")!=0 ||
			strstr((char*)eprocess+0x2e0,"System")!=0 ||
			strstr((char*)eprocess+0x2e0,"svchost.exe")!=0)//过滤explorer.exe
		{
			if(g_org_pspopenprocess)
				return g_org_pspopenprocess(a1,a2,eprocess,tagEprocss,a5,a6);
			else
				return STATUS_SUCCESS;
		}
		DbgPrint("%s OpenProcess %s\n",(char*)eprocess+0x2e0,(char*)tagEprocss+0x2e0);
		return STATUS_UNSUCCESSFUL;
	}
	
	if(g_org_pspopenprocess)
		return g_org_pspopenprocess(a1,a2,eprocess,tagEprocss,a5,a6);
	else
		return STATUS_SUCCESS;
}


void SetObjectHook()
{
	g_org_pspopenprocess = (PSPPROCESSOPEN)*(ULONG_PTR*)((ULONG_PTR)*PsProcessType + 0x78);
	*(ULONG_PTR*)((ULONG_PTR)*PsProcessType + 0x78) = (ULONG_PTR)MyPspProcessOpen;
	if(g_org_pspopenprocess == NULL)
		DbgPrint("PspProcessOpen is NULL!\n");
}

void ResObjectHook()
{
	if(g_org_pspopenprocess)
		*(ULONG_PTR*)((ULONG_PTR)*PsProcessType+0x78) = (ULONG_PTR)g_org_pspopenprocess;
}

void DriverUnLoad(PDRIVER_OBJECT pDriverObject)
{
	ResObjectHook();
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING usRegistPath)
{
	SetObjectHook();
	pDriverObject->DriverUnload = DriverUnLoad;
	return STATUS_SUCCESS;
}


效果跟看雪上的一致

线程思路一致


zhuhuibeishadiao
关注
专栏目录
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
AM335X产品勘误表.pdf
11-25
Sitara™ AM335x ARM® Cortex™-A8 Microprocessors (MPUs) Silicon Revisions 2.1, 2.0, 1.0 Silicon Errata
objectHook简单介绍
o330820350的专栏
09-12 1091
标 题: 【原创】objectHook简单介绍 作 者: ggdd 时 间: 2011-01-15,13:13:20 链 接: http://bbs.pediy.com/showthread.php?t=128161 其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄
ObjectType HOOK干涉注册表操作
03-22 911
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象对象头(object_header)有一个object type结构object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER typedef struct _OBJECT_TYPE_INITIALIZER {USHORT Length;BOOLE
x64内核hook
liuhaidon1992的博客
01-07 1514
x64中系统提供了api帮助我们进行hook,主要是如下三个函数 PsSetCreateProcessNotifyRoutineEx,这个函数的作用就是当进程创建的时候会通知你., PsSetCreateThreadNotifyRoutine,这个函数的作用是 当线程创建的时候会通知你。 PsSetLoadImageNotifyRoutine,这个函数的作用是 当模块加载的时候会通知你。 ...
【记录】学习下ObjectTypeHook Check
Returns' Station
05-11 990
看了下sudami那篇文章,记录+膜拜一下~~ 很简单,就是太麻烦,思路还是可以学习下的。之前没想过重定位可以用来找引用=。=||| 一般ObjectTypeHook 关注device driver file process thread job 还有 CmpKey,由于检测这个都是靠特征值匹配的,工作量会很大,其他的先无视了。 device driver process 这类导
《深入浅出ARM7-LPC213x_214x》勘误
09-24
### 《深入浅出ARM7-LPC213x_214x》勘误表解析 #### 一、概述 《深入浅出ARM7-LPC213x_214x》这本书旨在帮助读者深入了解基于ARM7架构的LPC213x和LPC214x系列微控制器的功能与应用。该书涵盖了硬件结构、软件编程...
石油化工企业设计防火标准 GB 50160-2008 (2018年版) 勘误表 2019.7.2.pdf
08-11
介绍了石油化工企业中与以往不同的内容
关于对“451 定额”的勘误及致歉声明
05-29
由于审读和校对的时间相对紧张以及印刷排版操作上的疏忽,“451 定额”在2017年2月份第1次印刷过程中出现了一些错误,现向行业广大用户致歉,并更正如下: 关于对“451 定额”的勘误及致歉声明
Infineon-TC26x_BC-step-ES-v01_02-EN勘误表1
08-03
Infineon的TC26x_BC-step-ES-v01_02-EN勘误表1是针对Infineon公司AURIX系列微控制器产品线中的TC26x芯片的一个重要文档。该文档的主要目的是指出在当前用户文档中与设备实际性能存在的偏差,确保开发者和用户能够...
HOOK ObjectType 干涉文件访问
zacklin的专栏
07-24 1164
前几日在网上看到MJ0011大虾写的一篇《ObjectType HOOK干涉注册表操作(bypass icesword,gmer,NIAP,etc.)》的文章,感觉很有兴趣。MJ大虾的文章给出的代码主要是干涉注册表的。而ObjectType 可以干涉的不只是注册表,所以就想到用同样的方法去干涉文件的访问,举一反三嘛。 然后问题就出现了 用Windbg跟了一下,发现在pNewParseP
为何HS可以在Win8 x64进行ObjectHook
陈刚编程心得与知识集
02-27 784
今天尝试调戏了一下HS ,发现在W8x64环境下,有NT/ZWOPENPROCESS和EndTask的R3HOOK XT恢复之,之后又发现他竟然有令人发指的OBJ HOOK 再恢复,OD之类的可以看到进程吗?不是说PG会阻止OBJ HOOK么,为何HS的驱动可以干这些XXOO的事儿?
自己定义Object Type对抗Object Hook
OSReact的专栏
07-12 1751
莫灰灰版主说“Object hook 自己定义Process Type和Thread Type才是王道。 ” 今天咱就来这个。 Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object,Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体
Windows驱动开发学习记录-ObjectType HookObjectType结构相关分析
最新发布
时空之中的灵魂
06-11 721
其中用不着EPROCESS的结构,获取这个的地址是为了获取_OBJECT_HEADER的地址,在XP环境的代码中可以用以下来获取到_OBJECT_HEADER地址,因为_OBJECT_HEADER结构中的Body部分就是获取的对应的对象,如EPROCESS。在64位系统上 _OBJECT_HEADER中并没有字段直接包含_OBJECT_TYPE结构,而是一个索引,索引的是一个名叫 ObTypeIndexTable的表,这个表是一个包含所有ObjectType的表结构,详细可见我另一篇文章。
ObjectHeader、ObjectType和ObjectHook的学习
weixin_30887919的博客
03-23 533
  0x01 前言   之前研究RootKit技术,发现了对象钩子这个概念,一直不知道是什么,然后在网上搜,最先找到的是sudami的一篇文章,于是跟着大牛的脚步研究,其中也参考<内核情景分析>,这本书真是每次看每次有收获。下面记录一下学习过程。   0x02 OBJECT_HEADER结构   这是对象的数据结构的形态,其中OBJECT_HEADER...
保护内核对象—对象挂钩(Object Hook
qq_42814021的博客
10-17 1533
内核对象 每个内核对象实际上都是一个内存块,它是由操作系统内核分配的,并且只能由操作系统内核访问。这个内存块是一个数据结构,它的成员维护着和这个对象相关的信息。但是应用程序不能直接访问和修改这些数据结构,它们需要通过句柄。 先通过系统调用打开/创建内核对象,让当前进程与目标对象之间建立起连接,此时就会返回一个句柄。然后调用Windows提供的一系列API函数就能访问这些内核对象。所以句柄其实相当于一个接口,Ring3层通过它来访问Ring0层的一些数据结构。 内核对象由对象头和对象体组成。 当应用程序打开内
简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行
06-24 1274
作 者: Sysnap时 间: 2008-05-30,19:16链 接: http://bbs.pediy.com/showthread.php?t=65731// ***************************************************************//  Author:  Sysnap     //  Link:    htt
object hook实现禁止创建文件
小驹的专栏
11-05 5112
内核 object hook 文件
C8051F34x系列单片机中文学习手册与勘误
"C8051F34x中文Datasheet是关于C8051F34x系列单片机的数据手册,包含了C8051F340/1/2/3/4/5/6/7的具体规格和功能介绍。文档中包含了学习者个人的学习笔记、注释和对原有中文版翻译的勘误,以提供更准确的参考信息。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值