ObOpenObjectByPointer获取进程句柄

最新推荐文章于 2023-12-10 11:35:41 发布
原创 最新推荐文章于 2023-12-10 11:35:41 发布 · 4.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个内核函数ObOpenObjectByPointer,该函数通过进程ID获取进程句柄,详细解释了函数参数及其作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

内核函数:根据进程id获取进程句柄
NTSTATUS
  ObOpenObjectByPointer(
    IN PVOID   Object ,
    IN ULONG   HandleAttributes ,
    IN PACCESS_STATE   PassedAccessState  OPTIONAL,
    IN ACCESS_MASK   DesiredAccess ,
    IN POBJECT_TYPE   ObjectType ,
    IN KPROCESSOR_MODE   AccessMode ,
    OUT PHANDLE   Handle
    );
hook ObOpenObjectByPointer/ReadMem/writemem/kiattach,debugport!->0
~~~jesse的专栏
06-18 2459
<br /><br />#include "getSSDTfun.h"<br /> <br />//#include "HookShadowSSDT.h"<br /> <br />VOID InitCallNumber();<br />VOID UnloadDriver(IN PDRIVER_OBJECT DriverObject);<br />NTSTATUS  HideProcess_Create(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);<br />NT
windows核心编程-进程句柄和如何获得
qq_22423659的博客
11-25 1505
进程句柄不同于进程内核对象的句柄 进程内核对象句柄:代表整个进程进程句柄:exe或者dll装入某个进程的地址空间,有唯一的实例句柄,也可以叫做模块句柄 进程句柄的本质是进程模块在进程地址空间中的首地址! 一:GetModuleFileName DWORD WINAPI GetModuleFileName( _In_opt_ HMODULE hModule, //进程句柄
获取当前进程/线程的ID、句柄和内核地址
misterliwei的专栏
08-21 7447
获取当前进程 / 线程的 ID 、句柄和内核地址   在用户态( RING3 )和内核态( RING0 )下,获取这些值的函数是不同的,而且这些函数的实现原理也是不同的,下面做个小结:   1. 用户态( RING3 )下  2. 内核态( RING0 )下   做个总结,仅此而已。
进程创建时 ObOpenObjectByPointer 导致蓝屏
02-04 2272
找到一篇有关文章,先摘抄下来。剩下最后一段以后再翻译 原文地址:http://uninformed.org/index.cgi?v=1&a=5&p=5 进程执行的临界时段是指在新的进程对象实例被nt!ObCreateObject创建 和该进程对象被nt!ObInsertObject插入到进程对象类型表之间的时段。在该时段尝试获取进程句柄是不安全的,比如使用nt!ObOpe
Windows内核下获取进程全路径
06-05
// 获取进程句柄 status = ObOpenObjectByPointer(Process, OBJ_KERNEL_HANDLE, NULL, PROCESS_QUERY_LIMITED_INFORMATION, *PsProcessType, KernelMode, &hProcess); if (!NT_SUCCESS(status)) return ...
ObOpenObjectByPointer
06-05
`ObOpenObjectByPointer` 用于通过已有的**对象指针**创建新的句柄,适用于内核模式驱动。该函数绕过对象句柄查找,直接利用对象指针操作内核对象(如进程、线程、文件等)[^1]。 ```c NTSTATUS ...
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6996
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
windows 内核dump 应用层堆栈
09-21
1. 获取进程句柄 使用函数 PsGetCurrentProcess() 获取当前进程句柄。 2. 获取进程对象 使用函数 ObReferenceObjectByHandle() 获取进程对象。 3. 获取线程列表 使用函数 PsGetNextProcessThread() 获取进程对象的...
[+] [DriverEntry] 驱动加载开始 [+] [DriverEntry] 驱动加载成功 [+] [ProcessNotifyCallback] 目标进程 oxygen.exe 创建 (PID: 7856) [+] [ProcessNotifyCallback] 工作线程已创建 [+] Worker thread started for hook installation [+] [InstallHook] 找到目标函数地址: FFFFF8057B2EFB60 ZwProtectVirtualMemory failed: 0xC00000F0 [-] [InstallHook] PTE Hook 安装失败
最新发布
06-25
这通常表示第一个参数(进程句柄)无效。在WriteTrampolineInstruction函数中,我们调用ZwProtectVirtualMemory时使用了NtCurrentProcess(),它返回当前进程的伪句柄(-1)。在内核模式下,这个句柄是有效的,但我们...
内核-句柄
weixin_45012273的博客
03-06 1164
私有句柄表 属于一个程序独有的 每个程序都有属于自己程序的句柄表 里面存储了所有本程序打开的内核对象 内核对象 进程创建 或打开内核对象的时候 将获得句柄,通过句柄访问内核对象 为什么需要句柄??? 句柄存在的目的是为了避免在应用层直接修改内核对象 应用层要是可以修改 如果修改成无效的地址在传送到0环 操作系统就会崩溃 所以操作系统并没有像用户层公开这个结构体 而是创建了一个句柄表 每个进程都有自己的这样的私有的表 这个表存储在0环 而你的进程里创建几个句柄 表中就用几项 而句柄则.
枚举进程内核句柄
Debug Hacker
12-01 1805
最近由于有一点点的时间,写了一个小工具,主要目的是总结前段时间对内核句柄的一些学习,功能很简单,类似于Process Explorer查看进程句柄的方法,在win7 x64上测试通过,效果如下图: 注意有些路径为空是因为x64下32位程序对64位程序用GetModuleFileNameEx获取进程的全路径是无法获取的,这个问题如果有好的解决方案欢迎推荐,自己太菜了... 代码上传到了C
驱动开发:内核中进程句柄互转
Gefangenes的博客
07-02 327
在Windows内核中,该函数接受一个指向对象的指针(这里为EProcess结构体的指针),以及所需的访问权限和对象类型,并返回对应的。内核函数,传入进程句柄和信息类别作为参数,函数返回有关指定进程的信息,包括进程PID。内核函数,传入PID作为参数,函数返回对应进程句柄HANDLE。函数打开进程,如果函数执行成功,将返回进程句柄HANDLE,否则返回NULL。此函数会将返回的句柄添加到当前进程句柄表中,因此在使用完毕后,需要使用。函数查询进程基本信息,如果函数执行成功,将返回进程PID,否则返回0。
windows内核- 内核中进程句柄互转(六)
rosykee的专栏
12-10 682
ObReferenceObjectByHandle函数接受一个句柄和一个对象类型作为参数,并返回对该对象的引用。在内核开发中,经常需要进行进程句柄之间的互相转换。进程通常由一个唯一的进程标识符(PID)来标识,而句柄是指对内核对象的引用。通过 GetProcessId(HANDLE)返回句柄对应的进程PID。例程接受进程进程 ID,并返回指向进程的 EPROCESS 结构的引用指针。函数接受一个EProcess结构作为参数,并返回该进程的PID。结构表示一个进程,而HANDLE是一个句柄
更深入的保护 - 从ssdt到ObOpenObjectByPointer
zhq445078388的专栏
06-26 1114
/*注意这里的所有偏移仅为xp sp3中的*/ 我在之前的一篇文章提到了监控进程启动的方法 同理可以监控进程结束 打开  我之前使用ssdt+inline的方式保护我自己的进程不被结束 但是显然太单薄了 这只能拦截r3的动作 以及r0直接使用ZWopenprocess的动作  一旦使用了更底层的 将无能为力 所以我尝试跟踪ntopenprocess来看看他到底怎么获取句柄
objectHook简单介绍
o330820350的专栏
09-12 1161
标 题: 【原创】objectHook简单介绍 作 者: ggdd 时 间: 2011-01-15,13:13:20 链 接: http://bbs.pediy.com/showthread.php?t=128161 其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄
对象创建(ObCreateObject)和对象删除(ObDereferenceObject、ObpRemoveObjectRoutine)
08-13 1797
原文地址:http://uninformed.org/index.cgi?v=1&amp;a=5&amp;p=5   进程执行的临界时段是指在新的进程对象实例被nt!ObCreateObject创建 和该进程对象被nt!ObInsertObject插入到进程对象类型表之间的时段。在该时段尝试获取进程句柄是不安全的,比如使用nt!ObOpenObjectByPointer。如果一个应用程序试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值