WhoUseMe 驱动实现

最新推荐文章于 2023-08-10 22:11:28 发布
原创 最新推荐文章于 2023-08-10 22:11:28 发布 · 769 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

  • 前面写过一个应用层的查找谁占用了我们的文件的程序WhoUseMe
    http://blog.youkuaiyun.com/qq_18218335/article/details/62884657
    从文中截图可以看出来,普通的应用层程序虽然可以达到枚举句柄的目的,但是对于一部分具有特殊权限的文件及端口句柄来说,调用NtQueryObject函数可能导致线程挂起,对此我们的解决办法是让一个单独的线程执行NtQueryObject函数,然后定时检查其运行状况,如果阻塞的话,killthread 并重新生成一个新的线程来执行NtQueryObject操作。这样做虽然可以避免整个程序的死锁。但是没有驱动的帮助,有些时候依然无法查找到我们所需要找的文件。今天我们就来实现这个WhoUseMe的驱动版本。

对象相关知识回顾

  • 首先复习一下关于句柄和对象管理的知识
  • 每个内核对象都只是一个内存块,它由操作系统内核分配,并只能由操作系统内核访问。这个内存块是一个数据结构,其成员维护着与对象相关的信息。
  • 应用程序不能在内存中定位这些数据结构并直接更改其内容。应用程序对不同类型的对象的操作是通过特定的例程进行的。如:NtCreateObject 对应创建Job 对象,NtCreateFile 对应创建文件对象等等。
  • 句柄值进程相关—每个进程有一个进程句柄表。进程间可以共享同一个内核对象。
  • 内核对象的所有者是操作系统内核,而非普通进程。
  • 对象的生存期:操作系统销毁使用计数为0的内核对象,系统中不存在没有被任何进程引用的内存对象。必须了解特定函数对于对象的操作是否会改变其引用计数,并严格遵守使用规则,在使用前增加引用计数,释放后减少引用计数。
  • 常用的操作函数
函数名作用注意
ObReferenceObjectByHandle在当前进程的句柄表或内核句柄表中找到相应的表项该函数会增加对象的引用计数
ObReferenceObjectByPointer递增对象的指针引用计数PointerCount
ObpLookupEntryDirectory给定一个对象名,在特定的目录节点下面寻找目标对象单层搜索,找到则增加对象的引用计数
ObpLookupObjectName同上,逐层搜索
ObOpenObjectByName根据对象名打开一个对象里面会调用ObpLookupObjectName 函数,返回目标对象的句柄,会增加引用计数
ObReferenceObjectByName同上,返回的是对象的指针会增加引用计数
ObDereferenceObject递减对象的引用计数传入的是对象指针

为达成目标而进行的小测试

  • 我们在之前的文章中已经知道了枚举系统所有句柄的方法,如今的问题就是对于部分句柄调用NtQueryObject 会造成线程阻塞,驱动要解决的就是这个问题,那么,驱动中如何得到对象的名称呢?
    http://bbs.pediy.com/thread-118325.htm
    WinXP 对象头中有NameInfoOffset域,而Win7 使用了一种更加巧妙的方法:
    Win7 对象头->IofoMask域
// 这是上面的作者给出的代码
PVOID ObQueryNameInfo(IN PVOID Object)
{
    POBJECT_HEADER ObjectHeader=OBJECT_TO_OBJECT_HEADER(Object);
    BYTE InfoMask=ObjectHeader->InfoMask;
    ULONG NameInfo=0;
    if(InfoMask & OB_INFOMASK_NAME)
    {
        NameInfo=(ULONG)ObjectHeader - ObpInfoMaskToOffset[InfoMask & (OB_INFOMASK_NAME+OB_INFOMASK_CREATOR_INFO)];
    }
    else
    {
        NameInfo=0;
    }
    return (PVOID)NameInfo;
}
// 这是ntoskernel 逆向得到的代码,互相印证
if ( *(In_Object - 22) & 2 )
    v9 = (signed __int64)&v7->PointerCount - ObpInfoMaskToOffset[*(In_Object - 22) & 3];
  • 探索用户线程调用不成功的原因
  • 代码如下,当我们线程阻塞时,得到导致阻塞的句柄值
SetEvent(ThreadContext->StartEventHandle);
            if ((Status = WaitForSingleObject(ThreadContext->CompletedEventHandle, 100)) != WAIT_OBJECT_0)
            {
                // 操作超时或者发生错误,KillThread
                //TerminateThread(ThreadContext->TargetHandle, 0);
                char    szBuffer[0x10] = { 0 };
                sprintf(szBuffer, "%d", ThreadContext->ThreadHandle);
                MessageBoxA(NULL, szBuffer, NULL, 0);

得到如下截图:
阻塞原因
得到对象地址
       之后我们在WinDbg 中得到对象的内容如下。

1: kd> dt _FILE_OBJECT 0xfffffa8032880ca0
nt!_FILE_OBJECT
   +0x000 Type             : 0n5
   +0x002 Size             : 0n216
   +0x008 DeviceObject     : 0xfffffa80`3151e3c0 _DEVICE_OBJECT
   +0x010 Vpb              : (null) 
   +0x018 FsContext        : 0x00000000`00010101 Void
   +0x020 FsContext2       : 0xfffff8a0`0bc84d60 Void
   +0x028 SectionObjectPointer : (null) 
   +0x030 PrivateCacheMap  : 0x00000000`00000001 Void
   +0x038 FinalStatus      : 0n0
   +0x040 RelatedFileObject : (null) 
   +0x048 LockOperation    : 0 ''
   +0x049 DeletePending    : 0 ''
   +0x04a ReadAccess       : 0 ''
   +0x04b WriteAccess      : 0 ''
   +0x04c DeleteAccess     : 0 ''
   +0x04d SharedRead       : 0 ''
   +0x04e SharedWrite      : 0 ''
   +0x04f SharedDelete     : 0 ''
   +0x050 Flags            : 0x40082
   +0x058 FileName         : _UNICODE_STRING "\QQ_771765819_pipe"
   +0x068 CurrentByteOffset : _LARGE_INTEGER 0x0
   +0x070 Waiters          : 0
   +0x074 Busy             : 1
   +0x078 LastLock         : (null) 
   +0x080 Lock             : _KEVENT
   +0x098 Event            : _KEVENT
   +0x0b0 CompletionContext : (null) 
   +0x0b8 IrpListLock      : 0
   +0x0c0 IrpList          : _LIST_ENTRY [ 0xfffffa80`32880d60 - 0xfffffa80`32880d60 ]
   +0x0d0 FileObjectExtension : (null)

       查看被阻塞线程的调用堆栈如下:
被阻塞线程的调用堆栈

  • 内核实现
#define IOCTL_WUM_GET_OBJ_NAME CTL_CODE(\
    FILE_DEVICE_UNKNOWN, \
    0x800, \
    METHOD_NEITHER, \
    FILE_ANY_ACCESS)
    // 使用的是自定义的I/O
typedef struct _DEVICE_EXTENSION {
    PDEVICE_OBJECT pDevice;
    UNICODE_STRING ustrDeviceName;  //设备名称
    UNICODE_STRING ustrSymLinkName; //符号链接名
    PUCHAR buffer;//缓冲区
} DEVICE_EXTENSION, *PDEVICE_EXTENSION;
typedef struct {
    ULONG   dwProcessId;
    HANDLE  hObjHandle;
    PUNICODE_STRING pUnicodeString;
}STRUCT_GET_OBJ_NAME,*PSTRUCT_GET_OBJ_NAME;

NTSTATUS DispatchDeviceControl(PDEVICE_OBJECT  DeviceObject,PIRP Irp)
{
    NTSTATUS  Status       = STATUS_SUCCESS;
    PVOID     InputBuffer  = NULL;
    ULONG_PTR InputSize    = 0;
    ULONG_PTR IoControlCode = 0;
    PIO_STACK_LOCATION   IrpSp;
    PSTRUCT_GET_OBJ_NAME    pGetName;
    PEPROCESS               pprocess;
    HANDLE                  handle;
    KPROCESSOR_MODE         referenceMode;
    KAPC_STATE              apcState;
    PVOID                   object;
    IrpSp = IoGetCurrentIrpStackLocation(Irp);

    InputBuffer = IrpSp->Parameters.DeviceIoControl.Type3InputBuffer;
    InputSize = IrpSp->Parameters.DeviceIoControl.InputBufferLength;

    IoControlCode = IrpSp->Parameters.DeviceIoControl.IoControlCode;

    switch(IoControlCode)
    {
    case IOCTL_WUM_GET_OBJ_NAME:
        {
            if (InputBuffer!=NULL)
            {
                if (!MmIsAddressValid(InputBuffer))
                {
                    Irp->IoStatus.Status = STATUS_UNSUCCESSFUL;
                    Irp->IoStatus.Information = 0;
                    break;
                }
                __try
                {
                    ProbeForRead(InputBuffer,sizeof(STRUCT_GET_OBJ_NAME),sizeof(ULONG_PTR));
                    pGetName = (PSTRUCT_GET_OBJ_NAME)InputBuffer;
                    if(!NT_SUCCESS(PsLookupProcessByProcessId(pGetName->dwProcessId,&pprocess)))
                    {
                        DbgPrint("Error: Unable to reference the target process.");
                        Irp->IoStatus.Status = STATUS_UNSUCCESSFUL;
                        Irp->IoStatus.Information = 0;
                        break;
                    }

                    if (pprocess == PsInitialSystemProcess)
                    {
                        handle = MakeKernelHandle(pGetName->hObjHandle);
                        referenceMode = KernelMode;
                    }
                    else
                    {
                        if (IsKernelHandle(pGetName->hObjHandle))
                        {
                            ObDereferenceObject(pprocess);
                            Irp->IoStatus.Status = STATUS_UNSUCCESSFUL;
                            Irp->IoStatus.Information = 0;
                            break;
                        }
                        referenceMode = Irp->RequestorMode;
                        handle = pGetName->hObjHandle;
                    }

                    // 挂载到目标进程
                    KeStackAttachProcess(pprocess, &apcState);
                    // 得到句柄对应的对象
                    Status = ObReferenceObjectByHandle(
                        handle,
                        0,
                        NULL,
                        referenceMode,
                        &object,
                        NULL
                        );
                    KeUnstackDetachProcess(&apcState);

                    if(!NT_SUCCESS(Status))
                    {
                        ObDereferenceObject(pprocess);
                        Irp->IoStatus.Status = STATUS_UNSUCCESSFUL;
                        Irp->IoStatus.Information = 0;
                        break;
                    }

                    QueryNameObject(object,pGetName->pUnicodeString);
                    Status = Irp->IoStatus.Status = STATUS_SUCCESS;
                    break;
                }
                __except(EXCEPTION_EXECUTE_HANDLER)
                {
                    Irp->IoStatus.Information = 0;
                    Status = Irp->IoStatus.Status = STATUS_UNSUCCESSFUL;
                    break;
                }
            }
            Irp->IoStatus.Information = 0;
            Status = Irp->IoStatus.Status = STATUS_SUCCESS;
            break;
        }
    default:
        {
            Irp->IoStatus.Status = STATUS_UNSUCCESSFUL;
            Irp->IoStatus.Information = 0;
            break;
        }
    }
    IoCompleteRequest(Irp,IO_NO_INCREMENT);
    return Status;
}

void QueryNameObject(PVOID object,PUNICODE_STRING pUnicodeString)
{
    POBJECT_TYPE    objectType;
    ULONG           dwRetLength = 0;
    int             i = 0;
    ProbeForRead(pUnicodeString,sizeof(UNICODE_STRING),sizeof(ULONG_PTR));
    ProbeForWrite(pUnicodeString->Buffer,pUnicodeString->MaximumLength,sizeof(WCHAR));
    ObQueryNameString(object,(POBJECT_NAME_INFORMATION)pUnicodeString,pUnicodeString->MaximumLength + sizeof(UNICODE_STRING),&dwRetLength);
}
  • 关于Zw 和 Nt 函数
           ntdll中,Nt 和 Zw 是一样的。Ntoskrnl.exe 中Zw 函数eax 为中断号,edx 为函数的参数的起始地址,之后中断,调用函数。Nt 函数则直接调用内核函数。即Nt在内核中为实现代码,Zw 仍然通过中断来实现功能。Zw 函数总是通过中断调用内核函数(一个是内核模式调用,一个是用户模式调用)。而Nt 函数在Ring3 显然必须通过中断进入内核。但在Ring0 中则为直接的实现者,直接调用内核函数。
NtQueryObject 函数
93Storm
04-25 4306
若翻译出现错误,请指出,本人会即时改正。 这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了) 函数声明: NTSTATUS NtQueryObject( _In_opt_  HANDLE  Handle, _In_        OBJECT_INFORMATION_CLASS objectInformationClass, _Out_opt_
VB Ring3下解锁文件的模块(二)
chenhui530的专栏
10-21 3358
VB Ring3下解锁文件的模块(一) 优快云地址是:http://topic.youkuaiyun.com/u/20070925/11/c0fa3831-e732-46f2-81e3-2465d0577151.html?1416895339VB Ring3下解锁文件的模块(一) 博客地址:http://blog.youkuaiyun.com/chenhui530/archive/2007/10/03/181030
【升级】易语言文件解锁(关闭句柄法)-易语言
06-12
前言 上一次发布过的程序:【首发】检测文件的占用,具有学习和商业价值(By超级用户),可以使用,仿电脑管家 正文 对于怎么枚举文件句柄 ,上一帖子对此有介绍,核心代码大概如下:如果 (ZwQueryObject (handle, #ObjectTypeInformation, unicode, 0, size) ≠ #STATUS_INVALID_HANDLE )' 只要不是无效的,为什么,详细看下面的注释 ' 参数 ' Handle ' 对象的一个句柄来获取信息。 ' ObjectInformationClass ' 指定一个OBJECT_INFORMATION_CLASS返回值的类型决定了信息在ObjectInformation缓冲区。 ' ObjectInformation ' 一个指向caller-allocated缓冲接收请求的信息。 ' ObjectInformationLength ' 指定的大小,以字节为单位,ObjectInformation缓冲区。 ' ReturnLength ' 一个指向变量的指针,接收的大小,以字节为单位,请求的关键信息。如果NtQueryObject STATUS_SUCCESS返回,返回的变量包含的数据量。如果NtQueryObject返回STATUS_BUFFER_OVERFLOW或STATUS_BUFFER_TOO_SMALL,您可以使用变量的值来确定所需的缓冲区大小。 ' 返回值 ' NtQueryObject返回STATUS_SUCCESS或适当的错误状态。可能的错误状态码包括以下: ' 返回代码 描述 ' STATUS_ACCESS_DENIED ' 有足够的权限来执行该cha询。 ' STATUS_INVALID_HANDLE ' 提供对象句柄无效。 ' STATUS_INFO_LENGTH_MISMATCH ' 信息长度不足以容纳数据。 unicode = 取空白字节集 (size) ZwQueryObject (handle, #ObjectTypeInformation, unicode, size, 0)' 读取信息的unicode文本 RtlUnicodeStringToAnsiString (ansi, unicode, 真)' 编码转换 ' RtlUnicodeStringToAnsiString例程将给定Unicode字符串转换成一个ANSI字符串。 str = 指针到文本 (ansi.Buffer) ' RtlFreeAnsiString常规版本存储由RtlUnicodeStringToAnsiString分配。 ' 参数 ' AnsiString ' 指针ANSI字符串缓冲区由RtlUnicodeStringToAnsiString以前分配的。 RtlFreeAnsiString (ansi) str = “无法获取”' 无效的怎么获取…… 返回 (str) 这一次呢更新了一个RemoteCloseHandle ,大概的原理是什么呢? 同时也采用了一些比较骚的方法,这种方法的限制较多,但是对于32位进程就很有效果。 NtClose在MSDN的大概介绍 1. NtClose is a generic routine that operates on any type of object. 2. Closing an open object handle causes that handle to become invalid. The system also decrements the handle count for the object and checks whether the object can be deleted. The system does not actually delete the object until all of the object's handles are closed and no referenced pointers remain. 3. A driver must close every handle that it opens as soon as the handle is no longer required. Kernel handles, which are those that are opened by a system thread or by specifying the OBJ_KERNEL_HANDLE flag, can be closed only when the previous processor mo
利用NtDuplicateObject进行Dump
二狗的博客
08-10 594
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)这是国外老哥2020年提出的一种蛮有意思的思路。我们先来看看大致的思路是什么样子的,然后来看看一些需要学习的点。
枚举进程句柄.rar
02-01
Delphi枚举指定进程打开的文件句柄、Mutex、注册表等句柄。Delphi2006正常运行
WhoUseMe-查看谁占用了我的文件
07-30
为了获取更全面的信息,尤其是那些由Ring0级别进程(如系统服务或驱动)占用的文件,Ring0WhoUseMe.zip可能是用于在Ring0权限下运行的组件,它可以查看到内核层面上的文件占用情况。 在实际应用中,这类工具的使用...
WhoUseMe工具—监控文件占用状态与权限等级
- Ring0级别的查看意味着“WhoUseMe”可以提供操作系统内核级别下的进程对文件的占用情况,这通常需要内核模式下的驱动程序来实现。 - Ring3级别的查看则意味着此工具能够在用户模式下运行,查看普通的应用程序...
ObQueryNameString一设计缺陷简述
chabaoNO1的专栏
07-18 2322
ObQueryNameString这个函数早就臭名远播啦,某文就说"这个函数的使用,在有些环境下会有问题。它的上层函数是 ZwQueryObject()。在某些情况下会导致系统挂起,或者直接 BSOD。它是从 对象管理器中的 ObpRootDirectoryObject开始遍历,通过 OBJECT_HEADER_TO_NAME_INFO 获得对象名称。今天问了下 PolyMeta好象是在处理 PIPE 时会挂启,这个问题出现在 2000 系统。在 XP 上好象补丁了。"而百度一下也多是问关于调用失败的问题,
获取句柄的详细信息:(原代码)
老裴
05-31 4327
一、驱动部分extern "C"{#include }#include "ScSysInfo.h"extern "C"{#include "native.h"#include "../TestHandle/ob.h"}#if 1#define dprintf DbgPrint#else#define dprintf#endif#define kprintf DbgPrint#define NT_D
ObQueryNameString routine
死胖子的博客
02-13 1067
ObQueryNameString routine ObQueryNameString 例程返回一个调用者指定的对象的名字(如果有)。 Syntax   NTSTATUS ObQueryNameString( _In_ PVOID Object, _Out_opt_ POBJECT_NAME_INFORMATION ObjectN
C++强制关闭串口占有句柄
功夫再高也怕菜刀 充分体现了科技的力量
02-06 3050
编码环境:VS2008源码下载地址:下载源码源码如下:头文件 NTStruct.h#pragma once#include typedef LONG NTSTATUS;typedef enum _SYSTEM_INFORMATION_CLASS{SystemBasicInformation=0,SystemProcessorInformation=1,SystemModuleInformation
CmRegisterCallback监控注册表框架
Cosmopolitan的博客
09-28 1770
首先用CmRegisterCallback注册注册表回调 记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey: 这里我只监控了上面两个动作 #include <ntddk.h> #define REGISTRY_POOL_TAG 'lxw' LARGE_INTEGER cookie; NTKERNELAPI...
终止进程的内幕
瓜牛的窝
04-24 1013
有来信询问进程结束的有关问题,下面就这个问题简单讨论一下(下面的讨论基于2000,其他NT系统也类似)。  首先看看一个应用程序想要强制结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程。  1、OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtO
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6986
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
阻塞与死锁(一)——基础知识
java开发指南博客 【转载】
05-16 261
阻塞与死锁是除内存、CPU、IO外另一个影响性能的因素。对OLTP系统尤为严重 一般以下问题是死锁的征兆: 1、 并发用户少的时候,一切正常,但是随着用户数量增多,性能越来越慢。 2、 客户端经常收到以下错误: Error 1222:Lock request time out period exceeded.(已超过锁请求超时时段) Error 1205:Your transaction...
从FILE_OBJECT里获取完整NT路径和DOS路径
zhuhuibeishadiao
11-29 4558
原作者:Tesla.Angela 链接:http://www.m5home.com/bbs/thread-8896-1-1.html 众所周知在FILE_OBJECT.FileName的路径是不带盘符的,于是网上各种QUICK AND DIRTY的代码就干脆直接从FileName里取得“无头路径”。 这种恶心的做法自然是要不得的,现在分享一下从这个结构体里取完整路径的方法。区区40行代码(还
MmIsAddressValid()做了些什么
pureman_mega的博客
03-25 1047
从函数的名称可以看出是判断地址是否有效,下面是反汇编代码和C代码。它主要判断地址是否对齐来确定地址是否有效。nt!MiIsAddressValid: 840bcaa8 8bff mov edi,edi 840bcaaa 55 push ebp 840bcaab 8bec mov ebp,esp 840bcaa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值