NTCreateDEbugOBject for win8..1

最新推荐文章于 2025-06-09 09:36:19 发布
原创 最新推荐文章于 2025-06-09 09:36:19 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这段代码展示了如何在Windows 8.1上创建调试对象(Debug Object),通过调用ObCreateObject函数并初始化相关内存结构。代码中进行了适当的优化,减少了硬编码,并附带了调试过程的说明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



这个代码可以在WIN8.1上面跑的  测试成功 自己测试的时候呢 把ObInsertObjectEx,DbgkDebugObjectType替换一下 最后用符号连接就完美了
这个不像昨天的那个伪代码 这个可以跑的 我跟着调试了一遍代码也是没有用IDA了  IDA太坑
优化一下函数 减少一个硬编码  现在只有一个dbgobjecttype了
NTSTATUS NTCreateDebugObject(OUT PHANDLE DebugObjectHandle,
 IN ACCESS_MASK DesiredAccess,
 IN POBJECT_ATTRIBUTES ObjectAttributes,
 IN ULONG Flags){
  typedef NTSTATUS (__stdcall *OBCREATEOBJECT)(
   __in KPROCESSOR_MODE ProbeMode,
   __in POBJECT_TYPE ObjectType,
   __in POBJECT_ATTRIBUTES ObjectAttributes,
   __in KPROCESSOR_MODE OwnershipMode,
   __inout_opt PVOID ParseContext,
   __in ULONG ObjectBodySize,
   __in ULONG PagedPoolCharge,
   __in ULONG NonPagedPoolCharge,
   __out PVOID *Object
   );
  PHANDLE handle;
  UNICODE_STRING usFuncName;
  KPROCESSOR_MODE PreviousMode;
  OBCREATEOBJECT ObCreateObject;
  POBJECT_TYPE DebugObject;
  POBJECT_TYPE DbgkDebugObjectType=(POBJECT_TYPE)0x84939eb0  ;
 
  NTSTATUS status;
  RtlInitUnicodeString(&usFuncName,L"ObCreateObject");
  ObCreateObject = MmGetSystemRoutineAddress(&usFuncName);
  PreviousMode=ExGetPreviousMode();
  if (PreviousMode==KernelMode)
  {
   return STATUS_INVALID_PARAMETER;
  }
  if (Flags & 0xFFFFFFFE)
  {
   return STATUS_INVALID_PARAMETER;
  }
 

  status= ObCreateObject(PreviousMode,DbgkDebugObjectType,ObjectAttributes,PreviousMode,NULL,0x3c,0, 0,(PVOID)&DebugObject);
  if (!NT_SUCCESS(status))
  {
   return status;
  }
  *(ULONG*)((ULONG)DebugObject+0x10)=1;
  *(ULONG*)((ULONG)DebugObject+0x14)=0;
  *(ULONG*)((ULONG)DebugObject+0x18)=0;
  
    KeInitializeEvent((PRKEVENT)((ULONG)DebugObject+0x1c),1,0);
     
  *(ULONG*)((ULONG)DebugObject+0x30+4)= ((ULONG)DebugObject+0x30);
   *(ULONG*)((ULONG)DebugObject+0x30)=((ULONG)DebugObject+0x30);
    KeInitializeEvent((PRKEVENT)DebugObject,0,0);
    *(ULONG*)((ULONG)DebugObject+0x38)=2;
  
     status= ObInsertObject(DebugObject,NULL,DesiredAccess,0,NULL,&handle);
     if (!NT_SUCCESS(status))
     {
      return status;
     }
    KdPrint(("handle %X",handle));
    *(ULONG*)DebugObjectHandle=handle;

    return 0;
    


  
}


WIN7X64内核调试之NTCreateDebugObject
落笔飞花笑百生的博客
09-28 3396
NTSTATUS __fastcall proxyNtCreateDebugObject(         OUT PHANDLE DebugObjectHandle,         IN ACCESS_MASK DesiredAccess,         IN POBJECT_ATTRIBUTES ObjectAttributes,         IN ULONG Flags  
重写部分调试体系的DebugPort隐藏
被遗弃的庸才博客
01-11 2937
能正常调试vmp和se,并且没有debugport的痕迹(如果你想调试某游戏,我的评价是我不知道,因为我不玩)。al-khaser_x86下除了父进程和watch memory,debug的痕迹都没有了(当然检测的方式还有窗口名和进程名的方式,这里并没有处理,你可以参考hyperhiden把这些也加上),NtYieldExecution在当前开了vt的虚拟机下就是bad(不管)。
Windows内核分析——内核调试机制的实现(NtCreateDebugObject、DbgkpPostFakeProcessCreateMessages、DbgkpPostFakeThreadMes...
weixin_30622181的博客
03-31 560
本文主要分析内核中与调试相关的几个内核函数。 首先是NtCreateDebugObject函数,用于创建一个内核调试对象,分析程序可知,其实只是一层对ObCreateObject的封装,并初始化一些结构成员而已。 我后面会写一些与window对象管理方面的笔记,会分析到对象的创建过程。 来自WRK1.2 NTSTATUS NtCreateDebugObject ( OUT P...
对象回调初步研究
m0_68259687的博客
06-09 1004
这里有一个问题我没有解决,那就是在停止驱动的时候会蓝屏,0x00000039,在取消回调的时候回调句柄是被赋了值的,但是我一直没搞清楚为什么会蓝屏。中间还修改了DriverSection的Flags的值,把它改了回去,但是还是无济于事。
180310 逆向-反调试技术(3)DebugObject
whklhhhh的博客
03-23 789
1625-5 王子昂 总结《2018年3月10日》 【连续第525天总结】 A. 反调试技术(3) B. DebugObject 之前都是从被调试进程入手找痕迹,除此以外调用了DebugAPI的调试器必然要向系统进行声明注册,因此从调试器一边寻找痕迹也是可行的 调试器与被调试程序建立关系有两种途径 在创建进程时设置DEBUG_PROCESS 调用DebugActiveP...
createDebug_内核逆向_自建调试体系_
10-01
自建调试体系
public DbgUiConnectToDbg .text:00000001800CC650 DbgUiConnectToDbg proc near ; DATA XREF: .rdata:0000000180120BD4↓o .text:00000001800CC650 ; .rdata:off_1801521D8↓o ... .text:00000001800CC650 .text:00000001800CC650 var_38 = dword ptr -38h .text:00000001800CC650 var_30 = qword ptr -30h .text:00000001800CC650 var_28 = qword ptr -28h .text:00000001800CC650 var_20 = dword ptr -20h .text:00000001800CC650 var_18 = xmmword ptr -18h .text:00000001800CC650 .text:00000001800CC650 sub rsp, 58h .text:00000001800CC654 mov rax, gs:_TEB.NtTib.Self .text:00000001800CC65D xor ecx, ecx .text:00000001800CC65F cmp [rax+(_TEB.DbgSsReserved+8)], rcx ; 判断是否已经有调试 这里存放的是调试对象的句柄 .text:00000001800CC666 jnz short loc_1800CC6AE .text:00000001800CC668 mov [rsp+58h+var_30], rcx .text:00000001800CC66D lea r8, [rsp+58h+var_38] .text:00000001800CC672 mov [rsp+58h+var_20], ecx .text:00000001800CC676 xorps xmm0, xmm0 .text:00000001800CC679 mov [rsp+58h+var_28], rcx .text:00000001800CC67E mov r9d, 1 .text:00000001800CC684 movdqu [rsp+58h+var_18], xmm0 .text:00000001800CC68A mov [rsp+58h+var_38], 30h ; '0' .text:00000001800CC692 mov edx, 1F000Fh .text:00000001800CC697 mov rcx, gs:_TEB.NtTib.Self .text:00000001800CC6A0 add rcx, 16A8h .text:00000001800CC6A7 call NtCreateDebugObject ; 参数1:存放调试对象句柄的地址 .text:00000001800CC6A7 ; 参数2:1F000F 访问掩码 也就是DesriedAccess .text:00000001800CC6A7 ; 参数3:==Out参数 .text:00000001800CC6A7 ; 参数4:1 .text:00000001800CC6AC mov ecx, eax .text:00000001800CC6AE .text:00000001800CC6AE loc_1800CC6AE: ; CODE XREF: DbgUiConnectToDbg+16↑j .text:00000001800CC6AE mov eax, ecx .text:00000001800CC6B0 add rsp, 58h .text:00000001800CC6B4 retn .text:00000001800CC6B4 ; --------------------------------------------------------------------------- .text:00000001800CC6B5 db 0CCh .text:00000001800CC6B5 DbgUiConnectToDbg endp
08-11
1. 检查当前线程是否已经有一个调试对象(通过TEB中的DbgSsReserved字段)。 2. 如果没有,则调用NtCreateDebugObject创建一个调试对象,并将其句柄存储在TEB的特定位置(TEB.DbgSsReserved)。 3. 返回状态码。 ...
详细注释每一行汇编 0000000140888290 ; __int64 __fastcall NtCreateDebugObject(PHANDLE DebugHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, ULONG Flags) 0000000140888290 NtCreateDebugObject proc near ; DATA XREF: .pdata:000000014011CF74↑o 0000000140888290 ; PAGE:000000014098C2E8↓o 0000000140888290 var_68 = qword ptr -68h 0000000140888290 ObjectBodySize = dword ptr -60h 0000000140888290 var_58 = qword ptr -58h 0000000140888290 var_50 = dword ptr -50h 0000000140888290 Object = qword ptr -48h 0000000140888290 var_40 = qword ptr -40h 0000000140888290 DebugObject = qword ptr -30h 0000000140888290 Handle = qword ptr -28h 0000000140888290 var_8 = byte ptr -8 0000000140888290 mov rax, rsp 0000000140888293 mov [rax+8], rbx 0000000140888297 mov [rax+10h], rsi 000000014088829B mov [rax+18h], rdi 000000014088829F push r14 00000001408882A1 sub rsp, 80h ; Integer Subtraction 00000001408882A8 mov esi, r9d 00000001408882AB mov r14d, edx 00000001408882AE mov rdi, rcx 00000001408882B1 and qword ptr [rax-28h], 0 ; Logical AND 00000001408882B6 and qword ptr [rax-30h], 0 ; Logical AND 00000001408882BB mov rax, gs:188h 00000001408882C4 mov r10b, [rax+232h] 00000001408882CB loc_1408882CB: ; DATA XREF: .rdata:00000001400B5514↑o 00000001408882CB test r10b, r10b ; Logical Compare 00000001408882CE jz short loc_1408882E7 ; Jump if Zero (ZF=1) 00000001408882D0 mov rcx, 7FFFFFFF0000h 00000001408882DA cmp rdi, rcx ; Compare Two Operands 00000001408882DD cmovb rcx, rdi ; Move if Below (CF=1) 00000001408882E1 mov rax, [rcx] 00000001408882E4 mov [rcx], rax 00000001408882E7 loc_1408882E7: ; CODE XREF: NtCreateDebugObject+3E↑j 00000001408882E7 and qword ptr [rdi], 0 ; Logical AND 00000001408882EB loc_1408882EB: ; DATA XREF: .rdata:00000001400B5514↑o 00000001408882EB test esi, 0FFFFFFFEh ; Logical Compare 00000001408882F1 jz short loc_1408882FD ; Jump if Zero (ZF=1) 00000001408882F3 mov eax, 0C000000Dh 00000001408882F8 jmp loc_1408883FE ; Jump 00000001408882FD ; --------------------------------------------------------------------------- 00000001408882FD loc_1408882FD: ; CODE XREF: NtCreateDebugObject+61↑j 00000001408882FD mov rdx, cs:DbgkDebugObjectType ; ObjectType 0000000140888304 and [rsp+88h+var_40], 0 ; Logical AND 000000014088830A lea rax, [rsp+88h+DebugObject] ; Load Effective Address 000000014088830F mov [rsp+88h+Object], rax ; Object 0000000140888314 and [rsp+88h+var_50], 0 ; Logical AND 0000000140888319 and dword ptr [rsp+88h+var_58], 0 ; Logical AND 000000014088831E mov [rsp+88h+ObjectBodySize], 68h ; 'h' ; ObjectBodySize 0000000140888326 mov r9b, r10b ; OwnershipMode 0000000140888329 mov cl, r10b ; ProbeMode 000000014088832C call ObCreateObjectEx ; Call Procedure 0000000140888331 test eax, eax ; Logical Compare 0000000140888333 js loc_1408883FE ; Jump if Sign (SF=1) 0000000140888339 mov rbx, [rsp+88h+DebugObject] 000000014088833E mov dword ptr [rbx+18h], 1 0000000140888345 and qword ptr [rbx+20h], 0 ; Logical AND 000000014088834A and dword ptr [rbx+28h], 0 ; Logical AND 000000014088834E lea rcx, [rbx+30h] ; Event 0000000140888352 xor r8d, r8d ; State 0000000140888355 lea edx, [r8+1] ; Type 0000000140888359 call KeInitializeEvent ; Call Procedure 000000014088835E lea rax, [rbx+50h] ; Load Effective Address 0000000140888362 mov [rax+8], rax 0000000140888366 mov [rax], rax 0000000140888369 xor r8d, r8d ; State 000000014088836C xor edx, edx ; Type 000000014088836E mov rcx, rbx ; Event 0000000140888371 call KeInitializeEvent ; Call Procedure 0000000140888376 test sil, 1 ; Logical Compare 000000014088837A jz short loc_140888385 ; Jump if Zero (ZF=1) 000000014088837C mov dword ptr [rbx+60h], 2 0000000140888383 jmp short loc_140888389 ; Jump 0000000140888385 ; --------------------------------------------------------------------------- 0000000140888385 loc_140888385: ; CODE XREF: NtCreateDebugObject+EA↑j 0000000140888385 and dword ptr [rbx+60h], 0 ; Logical AND 0000000140888389 loc_140888389: ; CODE XREF: NtCreateDebugObject+F3↑j 0000000140888389 mov rax, gs:188h 0000000140888392 mov rcx, [rax+0B8h] 0000000140888399 mov rax, [rcx+580h] 00000001408883A0 test rax, rax ; Logical Compare 00000001408883A3 jz short loc_1408883C1 ; Jump if Zero (ZF=1) 00000001408883A5 movzx eax, word ptr [rax+8] ; Move with Zero-Extend 00000001408883A9 mov ecx, 14Ch 00000001408883AE cmp ax, cx ; Compare Two Operands 00000001408883B1 jz short loc_1408883BD ; Jump if Zero (ZF=1) 00000001408883B3 mov ecx, 1C4h 00000001408883B8 cmp ax, cx ; Compare Two Operands 00000001408883BB jnz short loc_1408883C1 ; Jump if Not Zero (ZF=0) 00000001408883BD loc_1408883BD: ; CODE XREF: NtCreateDebugObject+121↑j 00000001408883BD or dword ptr [rbx+60h], 4 ; Logical Inclusive OR 00000001408883C1 loc_1408883C1: ; CODE XREF: NtCreateDebugObject+113↑j 00000001408883C1 ; NtCreateDebugObject+12B↑j 00000001408883C1 lea rax, [rsp+88h+Handle] ; Load Effective Address 00000001408883C6 mov [rsp+88h+var_58], rax 00000001408883CB and qword ptr [rsp+88h+ObjectBodySize], 0 ; Logical AND 00000001408883D1 and dword ptr [rsp+88h+var_68], 0 ; Logical AND 00000001408883D6 xor r9d, r9d ; Logical Exclusive OR 00000001408883D9 mov r8d, r14d 00000001408883DC xor edx, edx ; Logical Exclusive OR 00000001408883DE mov rcx, [rsp+88h+DebugObject] 00000001408883E3 call ObInsertObjectEx ; Call Procedure 00000001408883E8 mov ecx, eax 00000001408883EA test eax, eax ; Logical Compare 00000001408883EC js short loc_1408883FE ; Jump if Sign (SF=1) 00000001408883EE loc_1408883EE: ; DATA XREF: .rdata:00000001400B5524↑o 00000001408883EE mov rax, [rsp+88h+Handle] 00000001408883F3 mov [rdi], rax 00000001408883F6 jmp short loc_1408883FA ; Jump 00000001408883F8 ; --------------------------------------------------------------------------- 00000001408883F8 loc_1408883F8: ; DATA XREF: .rdata:00000001400B5524↑o 00000001408883F8 mov ecx, eax 00000001408883FA loc_1408883FA: ; CODE XREF: NtCreateDebugObject+166↑j 00000001408883FA mov eax, ecx 00000001408883FC jmp short $+2 ; Jump 00000001408883FE ; --------------------------------------------------------------------------- 00000001408883FE loc_1408883FE: ; CODE XREF: NtCreateDebugObject+68↑j 00000001408883FE ; NtCreateDebugObject+A3↑j ... 00000001408883FE lea r11, [rsp+88h+var_8] ; Load Effective Address 0000000140888406 mov rbx, [r11+10h] 000000014088840A mov rsi, [r11+18h] 000000014088840E mov rdi, [r11+20h] 0000000140888412 mov rsp, r11 0000000140888415 pop r14 0000000140888417 retn ; Return Near from Procedure 0000000140888417 ; --------------------------------------------------------------------------- 0000000140888418 db 0CCh 0000000140888419 ; --------------------------------------------------------------------------- 0000000140888419 NtCreateDebugObject$filt$1_0: ; DATA XREF: .rdata:00000001400B5514↑o 0000000140888419 ; .pdata:000000014011CF74↑o ... 0000000140888419 push rbp 000000014088841B sub rsp, 50h ; Integer Subtraction 000000014088841F mov rbp, rdx 0000000140888422 mov rax, gs:188h 000000014088842B mov [rbp+70h], rax 000000014088842F mov rax, [rbp+70h] 0000000140888433 mov cl, [rax+232h] 0000000140888439 mov [rbp+51h], cl 000000014088843C mov cl, [rbp+51h] 000000014088843F xor eax, eax ; Logical Exclusive OR 0000000140888441 test cl, cl ; Logical Compare 0000000140888443 setnz al ; Set Byte if Not Zero (ZF=0) 0000000140888446 add rsp, 50h ; Add 000000014088844A pop rbp 000000014088844B retn ; Return Near from Procedure 000000014088844B ; --------------------------------------------------------------------------- 000000014088844C db 0CCh 000000014088844D ; --------------------------------------------------------------------------- 000000014088844D NtCreateDebugObject$filt$0: ; DATA XREF: .rdata:00000001400B5524↑o 000000014088844D ; .pdata:000000014011CF80↑o ... 000000014088844D push rbp 000000014088844F sub rsp, 50h ; Integer Subtraction 0000000140888453 mov rbp, rdx 0000000140888456 mov rax, gs:188h 000000014088845F mov [rbp+68h], rax 0000000140888463 mov rax, [rbp+68h] 0000000140888467 mov cl, [rax+232h] 000000014088846D mov [rbp+50h], cl 0000000140888470 mov cl, [rbp+50h] 0000000140888473 xor eax, eax ; Logical Exclusive OR 0000000140888475 test cl, cl ; Logical Compare 0000000140888477 setnz al ; Set Byte if Not Zero (ZF=0) 000000014088847A add rsp, 50h ; Add 000000014088847E pop rbp 000000014088847F retn ; Return Near from Procedure 000000014088847F ; --------------------------------------------------------------------------- 0000000140888480 db 0CCh 0000000140888480 NtCreateDebugObject endp
最新发布
08-12
0000000140888290 var_8 = byte ptr -8 ; 函数入口点 0000000140888290 mov rax, rsp ; 保存栈指针 0000000140888293 mov [rax+8], rbx ; 保存 RBX 0000000140888297 mov [rax+10h], rsi ; 保存 RSI ...
通过我给出的代码,分析它的作用BOOLEAN HookDbgkDebugObjectType() { //如果是不以原始DbgkDebugObjectType指针来操作,以启动方式时则需要替换PspInsertProcess中的DbgkDebugObjectType UNICODE_STRING ObjectTypeName; //获取原始DbgkDebugObjectType CKernelTable Ssdt; /*根据给定的函数名NtCreateDebugObject,在系统服务描述符表(SSDT)中查找对应的函数地址*/ PVOID NtCreateDebugObject = Ssdt.GetAddressFromName("NtCreateDebugObject"); if (!NtCreateDebugObject) { return FALSE; } ULONG templong = 0; /* 指令序列用于查找 DbgkDebugObjectType 地址*/ UCHAR tzm[] = { 0x48, 0x8B, 0x15, 0xEC, 0x85, 0x47, 0x00 }; ULONG64 addr = 0; for (PUCHAR i = (PUCHAR)NtCreateDebugObject; i < (PUCHAR)NtCreateDebugObject + 0x100; i++) { if (*i == 0x48 && *(i + 1) == 0x8B && *(i + 2) == 0x15 ) { // 复制相对偏移量 memcpy(&templong, i + 3, 4); addr = (ULONG64)((ULONG)templong + (ULONG64)i + 7);// 计算绝对地址 break; } } g_DbgkDebugObjectType = (POBJECT_TYPE*)addr; if (g_DbgkDebugObjectType == 0) { return FALSE; // 返回失败状态,无法获取 DbgkDebugObjectType 地址 } DbgPrint("fh:sys g_DbgkDebugObjectType:%p\n", g_DbgkDebugObjectType); RtlInitUnicodeString(&ObjectTypeName, L"styone"); // 初始化对象类型名称 OBJECT_TYPE_INITIALIZER_WIN10 ObjectTypeInitializer; POBJECT_TYPE* DbgkDebugObjectType = g_DbgkDebugObjectType; //参数构造 //memcpy(&ObjectTypeInitializer, &DbgkDebugObjectType->TypeInfo, sizeof(ObjectTypeInitializer)); // 复制对象类型信息 memcpy(&ObjectTypeInitializer, &(*DbgkDebugObjectType)->TypeInfo, sizeof(OBJECT_TYPE_INITIALIZER_WIN10)); //这里恢复调试权限 //ObjectTypeInitializer.DeleteProcedure = &DbgkpDeleteObject; //ObjectTypeInitializer.CloseProcedure = &DbgkpCloseObject; //ObjectTypeInitializer.DeleteProcedure = &proxyDbgkpDeleteObject; //ObjectTypeInitializer.CloseProcedure = &proxyDbgkpCloseObject; ObjectTypeInitializer.DeleteProcedure = NULL; // 设置删除过程为空 ObjectTypeInitializer.CloseProcedure = NULL;// 设置关闭过程为空 ObjectTypeInitializer.GenericMapping.GenericRead = 0x00020001;// 设置通用读权限 ObjectTypeInitializer.GenericMapping.GenericWrite = 0x00020002; // 设置通用写权限 ObjectTypeInitializer.GenericMapping.GenericExecute = 0x00120000;// 设置通用执行权限 ObjectTypeInitializer.GenericMapping.GenericAll = 0x001f000f;// 设置通用所有权限 ObjectTypeInitializer.ValidAccessMask = 0x001f000f; // 设置有效访问掩码 //创建调试对象类型 NTSTATUS status = ObCreateObjectType(&ObjectTypeName, &ObjectTypeInitializer, NULL, (PVOID*)g_DbgkDebugObjectType); //return FALSE; if (!NT_SUCCESS(status)) { if (status == STATUS_OBJECT_NAME_COLLISION) { //对象名已经存在 DbgPrint("ObCreateObjectType STATUS_OBJECT_NAME_COLLISION 对象名已经存在\n"); PUCHAR j_ObGetObjectType = (PUCHAR)GetKernelAddress("ObGetObjectType"); if (!j_ObGetObjectType) { DbgPrint("ObGetObjectType函数 failed\n"); // 获取 ObGetObjectType函数 失败 return FALSE; } //ULONG uloffset = (ULONG)(*(PUINT32)(j_ObGetObjectType + 31)); //DbgPrint("uloffset:%x\n", uloffset); //ULONG64 baseAddr = (ULONG64)j_ObGetObjectType + 35; //DbgPrint("baseAddr:%p\n", baseAddr); //POBJECT_TYPE* ObTypeIndexTable = (POBJECT_TYPE*)(baseAddr + uloffset); // 获取对象类型索引表地址 POBJECT_TYPE* ObTypeIndexTable = (POBJECT_TYPE*)(*(PUINT32)(j_ObGetObjectType + 31) + (ULONG64)j_ObGetObjectType + 35); if (!ObTypeIndexTable) { DbgPrint("ObGetObjectType get failed\n"); // 获取对象类型索引表失败 return FALSE; } DbgPrint("ObTypeIndexTable:%p\n", ObTypeIndexTable); // 打印对象类型索引表地址 //DbgPrint("sizeof(_OBJECT_TYPE):%x\n", sizeof(_OBJECT_TYPE)); // 打印对象类型索引表第2个元素地址 DbgPrint("ObTypeIndexTable[2]:%p\n", ObTypeIndexTable[2]); ULONG Index = 2; while (ObTypeIndexTable[Index]) { // 打印当前对象类型地址 DbgPrint("ObTypeIndexTable[Index]:%p\n", ObTypeIndexTable[Index]); if (&ObTypeIndexTable[Index]->Name) { if (ObTypeIndexTable[Index]->Name.Buffer) { DbgPrint("RtlCompareUnicodeString:%ws %ws\n", ObTypeIndexTable[Index]->Name.Buffer, ObjectTypeName.Buffer); // 比较对象类型名称 if (RtlCompareUnicodeString(&ObTypeIndexTable[Index]->Name, &ObjectTypeName, FALSE) == 0) { // 设置 DbgkDebugObjectType 为找到的对象类型 *g_DbgkDebugObjectType = ObTypeIndexTable[Index]; // 打印已存在的 DbgkDebugObjectType 地址 DbgPrint("ObCreateObjectType already exist *g_DbgkDebugObjectType:%p\n", *g_DbgkDebugObjectType); return TRUE; } } } Index++; } } else { DbgPrint("ObCreateObjectType eeor!\n"); // 创建对象类型失败 return FALSE; } } // 打印创建成功的 DbgkDebugObjectType 地址 DbgPrint("ObCreateObjectType ok g_DbgkDebugObjectType:%p\n", g_DbgkDebugObjectType); return TRUE;// 返回成功状态 }
08-05
同时,我们还需要理解ObCreateObjectType、NtCreateDebugObject和SSDT(System Service Descriptor Table)在其中的作用。 首先,我们需要明确几个关键概念: 1. **调试对象(Debug Object)**:在Windows操作系统...
windowsNt内核函数大全(可编辑修改word版).docx
06-17
NtCreateDebugObject和NtDebugActiveProcess函数分别用于创建调试对象和附加调试器到活动进程。这些函数是系统开发者和调试者在进行系统级调试时必不可少的工具。 文件中还涉及到了一些与系统电源管理相关的函数,...
Windows软件调试学习笔记(一)—— 调试对象
lzyddf的博客
07-01 1340
软件调试学习笔记(一)—— 调试对象
Windows NT内核函数大全
qq_42577465的博客
06-06 1944
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
某P保护之调戏权限清0的学习。
kingswb的博客
06-19 1659
废话不多说啦,直接开干。 我们先来看看ValidAccessMask的值。 通过NtCreateDebugObject来定位。 uf  NtCreateDebugObject 地址为fffff800`04011f40 第一个地址就是_object_type的地址 我们想得到的ValidAccessMask存在TypeInfo中,偏移为0x40 由上图可以看出Val
每天一个npm包 之 debug
huangyangquan3的博客
07-23 1250
每天一个npm包 之 debug 每天一个npm包 之 debug 介绍: 毫秒之差 通配符* 环境变量 格式化 自定义格式 对浏览器的支持 对debug进行扩展 动态设置 检查调试目标是否已启用 兴趣源码阅读 如何判断是浏览器环境还是nodeJs环境呢? 浏览器环境 / nodeJs环境 底层的打印是使用什么实现的呢? 每一条打印出来的log, 后边都会随着一个时间,这个时间是怎么计算出来的呢? 格式化是怎么现实的呢? 格式化的扩展是怎么实现的呢? 参考: 社交信息 / Social
关于Win7 x64下过TP保护(内核层)(转)
weixin_30819085的博客
07-21 706
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了。在他的教程里我学到了不少东西。第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护。如果有讲错的地方,还望指出。说不定我发帖后一星期TP就会大更新呢。打字排版好辛苦。先说说内核层,看大家的反应后再说说应用层的保护。(包括解决CE非法问题)调试对象:DXF调试工具:OD、Windbg调试环境:Win7 SP1 X64...
Nt内核函数原型and中文
dengjiatao9832的博客
09-21 628
NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载新驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止...
绕过DebugPort清零自建调试体系
haodawei123的博客
03-16 3233
g_DebugPort是个全局变量通过NtCreateDebugObject来创建,在进程的回调句柄里面,然后将
1.调试对象
My classmates
11-01 1196
将一个程序拖拽进OD中,这种方式是通过 CreateProcess() 建立联系的。 程序正在运行中通过OD附加程序,这种方式是通过 DebugActiveProcess() 建立联系的。 DebugActiveProcess执行流程 &amp;amp;lt;1&amp;amp;gt; kernel32! DbaUiConnectToDbg() ntdll! DbgUiConnectToDbg() ntdll! ZwC...
聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。
YoungBoz的专栏
04-17 4784
 这个系列计划分为上下两部,上部是内置型辅助,下部是按键型辅助。我不保证会写完。 聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。 相对以前那些裸奔游戏,现在的新游戏多少都会有些保护,这是绕不过去的坎。 下面针对我发现的几个保护方法,逐个的聊一聊。 1、R3应用层下,DebugActiveProcess 加载调试器时,会设置一个远程断点,而这个远程断点其实多此一举,反而有时会
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值