32位/64位WINDOWS驱动之windbg分析进程句柄表和句柄权限地址关系

最新推荐文章于 2024-01-30 15:30:48 发布
最新推荐文章于 2024-01-30 15:30:48 发布
阅读量430 收藏
点赞数
分类专栏: windbg分析 文章标签: windows 驱动开发 单片机 嵌入式硬件 c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a756598009/article/details/131754493
版权
本文介绍了如何使用Windbg进行调试,特别是针对ObReferenceObjectByHandleWithTag函数的分析。详细展示了如何设置断点、查看结构指令以及理解代码执行流程,涉及到权限对象的计算方法,是逆向工程和驱动开发中的重要技能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

   windbg调试技巧
   逆向分析
   windbg访问断点
   dt查看结构指令

windbg使用帮助
参考 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/commands
   
 ObReferenceObjectByHandle->ObReferenceObjectByHandleWithTag
 
  权限对象=RP((_HANDLE_TABLE->TableCode -_HANDLE_TABLE->NextHandleNeedingPool)+句柄*4)+8//权限  //0x10
  
: kd> u nt!ObReferenceObjectByHandleWithTag l 80
nt!ObReferenceObjectByHandleWithTag:
fffff800`041770e0 44884c2420      mov     byte ptr [rsp+20h],r9b
fffff800`041770e5 4c89442418      mov     qword ptr [rsp+18h],r8
fffff800`041770ea 89542410        mov     dword ptr [rsp+10h],edx
fffff800`041770ee 53              push    rbx
fffff800`041770ef 55              push    rbp
fffff800`041770f0 56              push    rsi
fffff800`041770f1 57              push    rdi
fffff800`041770f2 4154            push    r12
fffff800`041770f4 4155            push    r13
fffff800`041770f6 4156            push    r14
fffff800`041770f8 4157            push    r15
fffff800`041770fa 4881ec88000000  sub     rsp,88h
fffff800`04177101 65488b3c2588010000 mov   rdi,qword ptr gs:[188h]
fffff800`0417710a 488b9c24f8000000 mov     rbx,qword ptr [rsp+0F8h]
fffff800`04177112 4533e4          xor     r12d,r12d
fffff800`04177115 4c8b7f70        mov     r15,qword ptr [rdi+70h]
fffff800`04177119 4032ed          xor     bpl,bpl
fffff800`0417711c 450fb6f1        movzx   r14d,r9b
fffff800`04177120 4c8923          mov     qword ptr [rbx],r12
fffff800`04177123 4c8be9          mov     r13,rcx //Handle
fffff800`04177126 4088ac24d0000000 mov     byte ptr [rsp+0D0h],bpl
fffff800`0417712e 85c9            test    ecx,ecx
fffff800`04177130 0f88e1010000    js      nt!ObReferenceObjectByHandleWithTag+0x237 (fffff800`04177317)
fffff800`04177136 4c3925937bebff  cmp     qword ptr [nt!ViVerifierDriverAddedThunkListHead (fffff800`0402ecd0)],r12
fffff800`0417713d 0f85ef3cf6ff    jne     nt! ?? ::NNGAKEGL::`string'+0x20220 (fffff800`040dae32)
fffff800`04177143 4c3bbf10020000  cmp     r15,qword ptr [rdi+210h]
fffff800`0417714a 0f85f63cf6ff    jne     nt! ?? ::NNGAKEGL::`string'+0x20234 (fffff800`040dae46)
fffff800`04177150 498bb700020000  mov     rsi,qword ptr [r15+200h] PEPROCESS+0x200 ObjectTable      : Ptr64 _HANDLE_TABLE //win7
fffff800`04177157 4885f6          test    rsi,rsi
fffff800`0417715a 0f84283df6ff    je      nt! ?? ::NNGAKEGL::`string'+0x2027e (fffff800`040dae88)
fffff800`04177160 483b3559a0ebff  cmp     rsi,qword ptr [nt!ObpKernelHandleTable (fffff800`040311c0)]
fffff800`04177167 0f84f43cf6ff    je      nt! ?? ::NNGAKEGL::`string'+0x2024f (fffff800`040dae61)
fffff800`0417716d 66ff8fc4010000  dec     word ptr [rdi+1C4h]
fffff800`04177174 41f7c5fc030000  test    r13d,3FCh
fffff800`0417717b 0f8402030000    je      nt!ObReferenceObjectByHandleWithTag+0x3a3 (fffff800`04177483)
fffff800`04177181 418bc5          mov     eax,r13d
fffff800`04177184 4c896c2430      mov     qword ptr [rsp+30h],r13 //Handle 0x7C 0x80 //79 77 74 78 7C 

断点 fffff800`04177184     0001 (0001) nt!ObReferenceObjectByHandleWithTag+0xa4

fffff800`04177189 83e0fc          and     eax,0FFFFFFFCh //按4字节对齐 
fffff800`0417718c 89442430        mov     dword ptr [rsp+30h],eax Handle
fffff800`04177190 8b465c          mov     eax,dword ptr [rsi+5Ch]
fffff800`04177193 4c8b4c2430      mov     r9,qword ptr [rsp+30h]   Handle
fffff800`04177198 4c3bc8          cmp     r9,rax
fffff800`0417719b 0f83e2020000    jae     nt!ObReferenceObjectByHandleWithTag+0x3a3 (fffff800`04177483) 没有跳
fffff800`041771a1 4c8b06          mov     r8,qword ptr [rsi] //r8d= +0x000 _HANDLE_TABLE->TableCode        :  fffff8a002b3a000

这一块没执行到 //分析错了 这里执行到了
fffff800`041771a4 418bc8          mov     ecx,r8d _HANDLE_TABLE->TableCode
fffff800`041771a7 83e103          and     ecx,3  //4字节对齐
fffff800`041771aa 8bc1            mov     eax,ecx
fffff800`041771ac 4c2bc0          sub     r8,rax //4字节对齐 r8=[_HANDLE_TABLE]- _HANDLE_TABLE->NextHandleNeedingPool //分析错了 这里是4字节对齐
//_HANDLE_TABLE->NextHandleNeedingPool=0x400


fffff800`041771af 85c9            test    ecx,ecx
fffff800`041771b1 0f853a010000    jne     nt!ObReferenceObjectByHandleWithTag+0x211 (fffff800`041772f1)
fffff800`041771b7 4b8d1c88        lea     rbx,[r8+r9*4] //权限对象=rbx //rbx+8 //1FFFFF  r9=Handle=0x78   r8=HANDLE_TABLE->TableCode 
 权限对象=RP((_HANDLE_TABLE->TableCode -_HANDLE_TABLE->NextHandleNeedingPool)+句柄*4)+8//权限  //0x10
 
 fffff8a002b3a000  rbx= fffff8a002b3a000+0x78*4=fffff8a002b3a1e0
fffff8a002b3a000+0x78*4+8 =权限 //OK
_HANDLE_TABLE->TableCode+Handle*4+8 //权限地址 
fffff800`041771bb 4885db          test    rbx,rbx
fffff800`041771be 0f84c2020000    je      nt!ObReferenceObjectByHandleWithTag+0x3a6 (fffff800`04177486)
fffff800`041771c4 0f0d0b          prefetchw [rbx]
fffff800`041771c7 488b03          mov     rax,qword ptr [rbx]
fffff800`041771ca a801            test    al,1
fffff800`041771cc 0f8422020000    je      nt!ObReferenceObjectByHandleWithTag+0x314 (fffff800`041773f4)
fffff800`041771d2 488d48ff        lea     rcx,[rax-1]
fffff800`041771d6 f0480fb10b      lock cmpxchg qword ptr [rbx],rcx
fffff800`041771db 0f851c020000    jne     nt!ObReferenceObjectByHandleWithTag+0x31d (fffff800`041773fd)
fffff800`041771e1 488b2b          mov     rbp,qword ptr [rbx]
fffff800`041771e4 4883e5f8        and     rbp,0FFFFFFFFFFFFFFF8h
fffff800`041771e8 0f0d4d00        prefetchw [rbp]
fffff800`041771ec 0fb64518        movzx   eax,byte ptr [rbp+18h]
fffff800`041771f0 4c8b9424e0000000 mov     r10,qword ptr [rsp+0E0h]
fffff800`041771f8 488d0d41bbebff  lea     rcx,[nt!ObTypeIndexTable (fffff800`04032d40)]
fffff800`041771ff 41be01000000    mov     r14d,1
fffff800`04177205 4c3914c1        cmp     qword ptr [rcx+rax*8],r10
fffff800`04177209 0f8530010000    jne     nt!ObReferenceObjectByHandleWithTag+0x25f (fffff800`0417733f)
fffff800`0417720f 448b5b08        mov     r11d,dword ptr [rbx+8] //权限 nt!ObReferenceObjectByHandleWithTag+0x12f:
fffff800`04177213 8b8c24d8000000  mov     ecx,dword ptr [rsp+0D8h]
fffff800`0417721a 410fbaf319      btr     r11d,19h
fffff800`0417721f 418bc3          mov     eax,r11d
fffff800`04177222 f7d0            not     eax
fffff800`04177224 85c1            test    ecx,eax
fffff800`04177226 0f85af010000    jne     nt!ObReferenceObjectByHandleWithTag+0x2fb (fffff800`041773db)
fffff800`0417722c 44396640        cmp     dword ptr [rsi+40h],r12d
fffff800`04177230 0f85983cf6ff    jne     nt! ?? ::NNGAKEGL::`string'+0x202c4 (fffff800`040daece)
fffff800`04177236 498bd4          mov     rdx,r12
fffff800`04177239 488b842400010000 mov     rax,qword ptr [rsp+100h]
fffff800`04177241 4885c0          test    rax,rax
fffff800`04177244 0f8585000000    jne     nt!ObReferenceObjectByHandleWithTag+0x1ef (fffff800`041772cf)
fffff800`0417724a f60304          test    byte ptr [rbx],4
fffff800`0417724d 0f85993cf6ff    jne     nt! ?? ::NNGAKEGL::`string'+0x202e2 (fffff800`040daeec)
fffff800`04177253 443925bab3eaff  cmp     dword ptr [nt!ObpTraceFlags (fffff800`04022614)],r12d
fffff800`0417725a 0f85ba3cf6ff    jne     nt! ?? ::NNGAKEGL::`string'+0x20310 (fffff800`040daf1a)
fffff800`04177260 f04c017500      lock add qword ptr [rbp],r14
fffff800`04177265 488b8c24f8000000 mov     rcx,qword ptr [rsp+0F8h]
fffff800`0417726d 488d4530        lea     rax,[rbp+30h]
fffff800`04177271 488901          mov     qword ptr [rcx],rax
fffff800`04177274 f04c0fc133      lock xadd qword ptr [rbx],r14
fffff800`04177279 488d4e30        lea     rcx,[rsi+30h]
fffff800`0417727d f0830c2400      lock or dword ptr [rsp],0
fffff800`04177282 0faee8          lfence
fffff800`04177285 48833900        cmp     qword ptr [rcx],0
fffff800`04177289 0f85ac010000    jne     nt!ObReferenceObjectByHandleWithTag+0x35b (fffff800`0417743b)
fffff800`0417728f 0fb6ac24d0000000 movzx   ebp,byte ptr [rsp+0D0h]
fffff800`04177297 668387c401000001 add     word ptr [rdi+1C4h],1
fffff800`0417729f 750d            jne     nt!ObReferenceObjectByHandleWithTag+0x1ce (fffff800`041772ae)
fffff800`041772a1 488d4750        lea     rax,[rdi+50h]
fffff800`041772a5 483900          cmp     qword ptr [rax],rax
fffff800`041772a8 0f85ed010000    jne     nt!ObReferenceObjectByHandleWithTag+0x3bb (fffff800`0417749b)
fffff800`041772ae 4080fd01        cmp     bpl,1
fffff800`041772b2 0f842c3df6ff    je      nt! ?? ::NNGAKEGL::`string'+0x203e2 (fffff800`040dafe4)
fffff800`041772b8 418bc4          mov     eax,r12d
fffff800`041772bb 4881c488000000  add     rsp,88h
fffff800`041772c2 415f            pop     r15
fffff800`041772c4 415e            pop     r14
fffff800`041772c6 415d            pop     r13
fffff800`041772c8 415c            pop     r12
fffff800`041772ca 5f              pop     rdi
fffff800`041772cb 5e              pop     rsi
fffff800`041772cc 5d              pop     rbp
fffff800`041772cd 5b              pop     rbx
fffff800`041772ce c3              ret
fffff800`041772cf 44895804        mov     dword ptr [rax+4],r11d
fffff800`041772d3 8b0b            mov     ecx,dword ptr [rbx]
fffff800`041772d5 83e106          and     ecx,6
fffff800`041772d8 0fba630819      bt      dword ptr [rbx+8],19h
fffff800`041772dd 0f828f010000    jb      nt!ObReferenceObjectByHandleWithTag+0x392 (fffff800`04177472)
fffff800`041772e3 8908            mov     dword ptr [rax],ecx
fffff800`041772e5 8b8c24d8000000  mov     ecx,dword ptr [rsp+0D8h]
fffff800`041772ec e959ffffff      jmp     nt!ObReferenceObjectByHandleWithTag+0x16a (fffff800`0417724a)
fffff800`041772f1 83f901          cmp     ecx,1
fffff800`041772f4 0f85983bf6ff    jne     nt! ?? ::NNGAKEGL::`string'+0x20288 (fffff800`040dae92)
fffff800`041772fa 498bc9          mov     rcx,r9
fffff800`041772fd 81e1ff030000    and     ecx,3FFh
fffff800`04177303 4c2bc9          sub     r9,rcx





 
 cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00000206
nt!ObReferenceObjectByHandleWithTag+0xac:
fffff800`0417718c 89442430        mov     dword ptr [rsp+30h],eax ss:0018:fffff880`06fcd670=00000078
3: kd> dt _HANDLE_TABLE fffff8a00294e740 //rsi=fffff8a00294e740 PEPROCESS+0x200
nt!_HANDLE_TABLE
   +0x000 TableCode        : 0xfffff8a0`02b3a000
   +0x008 QuotaProcess     : 0xfffffa80`32076b30 _EPROCESS
   +0x010 UniqueProcessId  : 0x00000000`000007dc Void
   +0x018 HandleLock       : _EX_PUSH_LOCK
   +0x020 HandleTableList  : _LIST_ENTRY [ 0xfffff800`040264d0 - 0xfffff8a0`02d56d40 ]
   +0x030 HandleContentionEvent : _EX_PUSH_LOCK
   +0x038 DebugInfo        : (null) 
   +0x040 ExtraInfoPages   : 0n0
   +0x044 Flags            : 0
   +0x044 StrictFIFO       : 0y0
   +0x048 FirstFreeHandle  : 0xe0
   +0x050 LastFreeHandleEntry : 0xfffff8a0`02b3aff0 _HANDLE_TABLE_ENTRY
   +0x058 HandleCount      : 0x37
   +0x05c NextHandleNeedingPool : 0x400
   +0x060 HandleCountHighWatermark : 0x37
Windows UAC权限详解以及因为权限不对等引发软件工具无法正常使用的实例分析
dvlinker的技术专栏
10-04 1万+
Windows UAC权限详解以及因为权限不对等引发软件工具无法正常使用的实例分析
Windows 句柄泄露学习总结
bcbobo21cn的专栏
03-19 8875
句柄泄露实例分析 http://www.cnblogs.com/Leo_wl/p/5397274.html 在上篇文章.NET对象与Windows句柄(二):句柄分类.NET句柄泄露的例子中,我们有一个句柄泄露的 例子。例子中多次创建Dispose了DataReceiverDataAnalyzer对象,但由于忘记调用DataAnalyzer的 Stop方法,导
windows进程句柄权限控制
10-14
windows进程句柄权限控制
一句话总结Windbg 32版本64版本的选择
weixin_34356310的博客
11-16 308
用惯了Vsiual Studio的兄弟们可能会因为先入为主的原因以为所有的调试器都应该像它那样,其实不然,当你安装Debugging Tools for Windows的时候,你将发现有两个系列的工具,一系列32的工具一系列64的工具。这让人觉得费解,因为在我们安装Microsoft Visual Studio的时候你根本不需要考虑32还是64。 如果你正使用windbg调试工具...
windbg 学习笔记 FOR 内核调试(三) --进程句柄HANDLE_TABLE
rongwenbin的专栏
02-25 2385
想当年 初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉 死命在想到底内核对象 , 句柄是个什么东西 干嘛用的 于是我们工作室的老大就对我说 这篇看过就过了 学到后面你自然会明白的     我想也是 , 很多时候感觉学东西的确是这样 暂时看不懂的先放着 过段时间再看回来就恍然大悟了 . 我前段时间又看了下核编的第三章 唯一的收获就是能够大概了解到 hanle 这个所谓的索引的作
32/64WINDOWS驱动windbg双机调试
a756598009的博客
06-24 4221
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg
windbg调试句柄问题
波波诸葛伟
09-20 417
dumpheap -type System.Windows.Forms.Form 命令的目的是列出内存堆中所有 System.Windows.Forms.Form 类型的对象。确定 Form 对象的内存地址:在托管代码(C#)中,您可以通过!在复杂的应用程序中,特别是在C++C#混合编程的环境中,理解句柄对象之间的关系可能是一个具有挑战性的任务。例如,您可以首先使用!这些信息可以整合到您的设计文档的调试部分,说明如何使用WinDbg进行复杂场景下的调试,特别是在C++C#代码共存的情况下。
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4564
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
Windows核心编程》若干知识点实战应用分享
热门推荐
dvlinker的技术专栏
01-21 3万+
Windows核心编程》若干知识点应用实践分享,希望大家能够仔细研读,在提升理论知识水平的同时,也能有效地提高分析解决问题的技能。
编写ring0内核驱动程序,检测隐藏进程.zip
01-25
4. **日志记录与报告**:一旦发现可疑进程,将其详细信息记录下来,以便后续分析调查。这可能涉及创建自定义事件日志、写入文件或通过网络发送警报。 在"ring3 exe加载ring0 sys"这个场景中,指的是一个用户模式...
win10 x64进程句柄
weixin_41725706的博客
12-04 764
win10 x64进程句柄研究测试
64内核第三讲,Windbg的使用.以及命令
weixin_30415801的博客
06-08 282
目录 一丶驱动的调试. 1.线程 2.断点 3.内存查看命令 4.修改内存命令 5.栈相关操作命令 6.进程线程命令(内核命令) 一丶驱动的调试. 编写驱动免不了调试.所以这里介绍一下WinDbg的常用...
Windows句柄学习笔记 —— 句柄&全局句柄
lzyddf的博客
03-19 4122
Windows句柄学习笔记 —— 句柄&全局句柄前言句柄实验一:在WinDbg中查看句柄第一步:打开一个Win32窗口程序第二步:编译并运行以下代码第三步:查看运行结果第四步:在WinDbg中定句柄句柄结构实验二:在WinDbg中查看并分析句柄结构第一步:打开一个Win32窗口程序第二步:编译以下代码并运行第三步:查看运行结果第四步:在WinDbg中定最后一个句柄第五步...
windbg学习笔记 FOR 内核调试(三) --进程句柄HANDLE_TABLE
tomorrowsprogress的专栏
08-24 1803
windbg学习笔记 FOR 内核调试(三) --进程句柄HANDLE_TABLE                                       想当年 初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉 死命在想到底内核对象 , 句柄是个什么东西 干嘛用的 于是我们工作室的老大就对我说 这篇看过就过了 学到后面你自然会明白的     我想也是 ,
32/64WINDOWS驱动windbg分析ObReferenceObjectByHandle取回进程句柄的过程
a756598009的博客
07-16 817
windbg调试技巧逆向分析windbg访问断点dt查看结构指令windbg使用帮助参考 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/commands.cls 清屏ba r4 地址 //对地址下4字节访问断点。
通过ObReferenceObjectByHandle了解进程句柄三张
qq_41610493的博客
04-05 1107
逆向实战
深入分析Win7的对象引用跟踪机制
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1505
深入分析Win7的对象引用跟踪机制 2010年09月12日 19:34 Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即RefrenceDerefrence次数不匹配)。 在Win7中,以下所有不带Tag的函数均使用一个默认的Tag("tlfD")直接调用带Tag参数
Windows11_22H2下的句柄句柄分析
最新发布
lkylky123789的博客
01-30 2190
Windows系统句柄句柄分析
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 6491
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a756598009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值