object_Hook相关知识

最新推荐文章于 2024-12-12 11:54:27 发布
最新推荐文章于 2024-12-12 11:54:27 发布
阅读量741 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 内核 windows Hook 文章标签: object_Hook Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/youyou519/article/details/82355272
本文深入探讨了Windows内核对象的内部结构与管理机制,详细分析了OBJECT_HEADER、OBJECT_TYPE等关键结构,以及如何通过HOOK技术监控内核对象操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前置知识

首先,分析OBJECT(内核对象)

先找到一个进程内核对象的地址,使用!process 0 0查看

PROCESS 885de030  SessionId: 1  Cid: 0700    Peb: 7ffd9000  ParentCid: 0418
    DirBase: 7f3602e0  ObjectTable: 98a8c548  HandleCount:  60.
    Image: Commnuication_ring3.exe

然后查看最后一个这个进程 


kd> dt _OBJECT_HEADER 885de030-18
nt!_OBJECT_HEADER
   +0x000 PointerCount     : 0n41
   +0x004 HandleCount      : 0n2
   +0x004 NextToFree       : 0x00000002 Void
   +0x008 Lock             : _EX_PUSH_LOCK
   +0x00c TypeIndex        : 0x7 ''
   +0x00d TraceFlags       : 0 ''
   +0x00e InfoMask         : 0x8 ''
   +0x00f Flags            : 0 ''
   +0x010 ObjectCreateInfo : 0x83f78cc0 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : 0x83f78cc0 Void
   +0x014 SecurityDescriptor : 0x8c6f64fe Void
   +0x018 Body             : _QUAD

PointerCount保存的是对象的指针计数,HandeCount保存的是对象句柄计数(也就是我们说的引用计数)
当我们通过API得到对象的句柄:
- 打开一个对象时,对象指针计数(差了下windows内核情景分析一书,这个翻译成引用计数,感觉更好一些,因为如果是引用计数,后面获得对象就不会增加句柄计数,指挥增加引用计数)与句柄计数都会被加1。
- 关闭句柄的时候,对象的指针计数和句柄计数都会被减一。
- 我们在内核层获得对象时,会增加其指针计数,一般我们需要通过ObDeferenceObject降低计数。
- 当指针计数与句柄计数都为0,内核对象回本销毁。
- TypeIndex表示对象的类型,他是一个数组的下标,数组名叫做ObTypeIndexTable.由nt模块导出

下面查看一下ObTypeIndexTable

kd> dd ObTypeIndexTable
83f86900  00000000 bad0b0b0 86544768 865446a0
83f86910  865445d8 865de040 865def00 865dee38
83f86920  865ded70 865deca8 865debe0 865de528
83f86930  866059c8 86601418 86601350 866094d0
83f86940  86609408 86609340 865f5de8 865f5d20
83f86950  865f5c58 865fac90 865fabc8 865fab00
83f86960  865faa38 865fa970 865fa8a8 865fa7e0
83f86970  865fa718 86603f78 86603eb0 86603de8

上面的对象是这个里面第七个位置的类型,查看一下,7号位置就是865dee38,他是_OBJECT_TYPE的地址。我们查看_OBJECT_TYPE的内容

kd> dt _OBJECT_TYPE 865dee38
ntdll!_OBJECT_TYPE
   +0x000 TypeList         : _LIST_ENTRY [ 0x865dee38 - 0x865dee38 ]
   +0x008 Name             : _UNICODE_STRING "Process"
   +0x010 DefaultObject    : (null) 
   +0x014 Index            : 0x7 ''
   +0x018 TotalNumberOfObjects : 0x23
   +0x01c TotalNumberOfHandles : 0xcc
   +0x020 HighWaterNumberOfObjects : 0x2a
   +0x024 HighWaterNumberOfHandles : 0x104
   +0x028 TypeInfo         : _OBJECT_TYPE_INITIALIZER
   +0x078 TypeLock         : _EX_PUSH_LOCK
   +0x07c Key              : 0x636f7250
   +0x080 CallbackList     : _LIST_ENTRY [ 0x865deeb8 - 0x865deeb8 ]

接下来,我们再分析一下_OBJECT_TYPE,其中有一个TypeInfo类型是OBJECT_TYPE_INITIALIZER

kd> dt _OBJECT_TYPE_INITIALIZER
ntdll!_OBJECT_TYPE_INITIALIZER
   +0x000 Length           : Uint2B
   +0x002 ObjectTypeFlags  : UChar
   +0x002 CaseInsensitive  : Pos 0, 1 Bit
   +0x002 UnnamedObjectsOnly : Pos 1, 1 Bit
   +0x002 UseDefaultObject : Pos 2, 1 Bit
   +0x002 SecurityRequired : Pos 3, 1 Bit
   +0x002 MaintainHandleCount : Pos 4, 1 Bit
   +0x002 MaintainTypeList : Pos 5, 1 Bit
   +0x002 SupportsObjectCallbacks : Pos 6, 1 Bit
   +0x004 ObjectTypeCode   : Uint4B
   +0x008 InvalidAttributes : Uint4B
   +0x00c GenericMapping   : _GENERIC_MAPPING
   +0x01c ValidAccessMask  : Uint4B
   +0x020 RetainAccess     : Uint4B
   +0x024 PoolType         : _POOL_TYPE
   +0x028 DefaultPagedPoolCharge : Uint4B
   +0x02c DefaultNonPagedPoolCharge : Uint4B
   +0x030 DumpProcedure    : Ptr32     void 
   +0x034 OpenProcedure    : Ptr32     long 
   +0x038 CloseProcedure   : Ptr32     void 
   +0x03c DeleteProcedure  : Ptr32     void 
   +0x040 ParseProcedure   : Ptr32     long 
   +0x044 SecurityProcedure : Ptr32     long 
   +0x048 QueryNameProcedure : Ptr32     long 
   +0x04c OkayToCloseProcedure : Ptr32     unsigned char

我们在内核层经常需要使用一个内核对象句柄获得内核对象,比如用户层传入一个时间对象句柄,用于分析内核层与用户层进行同步。
我们可以使用ObReferenceObjectByHandle函数根据句柄获得内核对象
注意:
- 当你调用这个函数时候,需要确保处于当前进程环境。
- 用户模式的句柄,将AccessMode指定为userMode
- 使用完毕,请调用ObDererfanceObject降低指针引用计数。

下面就是相关的代码

通过内核对下头部,能够获得此类型内核对象的创建信息,在这些信息中有一组函数指针非常重要。
我们通过Hook这些函数指针,能够达到监控内核对象操作的目的。
这种Hook被称为Object-Hook,下面的代码平台是Win32
总得来说就是找到地址然后把在OBJECT_TYPE里OBJECT_TYPE_INITIALIZER的参数ParseProcedure替换成自己的 

#include <ntifs.h>
VOID DriverUnload(PDRIVER_OBJECT objDriver);
typedef ULONG(*OBGETOBJECTTYPE)(PVOID Object);
typedef NTSTATUS(*PARSEPRODECEDURE)(
    IN PVOID ParseObject,
    IN PVOID ObjectType,
    IN OUT PACCESS_STATE AccessState,
    IN KPROCESSOR_MODE AccessMode,
    IN ULONG Attributes,
    IN OUT PUNICODE_STRING CompleteName,
    IN OUT PUNICODE_STRING RemainingName,
    IN OUT PVOID Context OPTIONAL,
    IN PSECURITY_QUALITY_OF_SERVICE SecurityQos OPTIONAL,
    OUT PVOID *Object);
PARSEPRODECEDURE g_OldFun;
NTSTATUS NewParseProcedure(
    IN PVOID ParseObject,
    IN PVOID ObjectType,
    IN OUT PACCESS_STATE AccessState,
    IN KPROCESSOR_MODE AccessMode,
    IN ULONG Attributes,
    IN OUT PUNICODE_STRING CompleteName,
    IN OUT PUNICODE_STRING RemainingName,
    IN OUT PVOID Context OPTIONAL,
    IN PSECURITY_QUALITY_OF_SERVICE SecurityQos OPTIONAL,
    OUT PVOID *Object)
{
    KdPrint(("Hook Success\n"));

    return g_OldFun(ParseObject, ObjectType, AccessState, AccessMode, Attributes,
        CompleteName,
        RemainingName, Context, SecurityQos, Object);
}
OBGETOBJECTTYPE g_OBGetObjectType;
//获得一个函数地址,这个函数能够通过内核对象得到内核对象的类型
VOID GetObjectTypeAddress()
{
    PUCHAR addr;
    UNICODE_STRING pslookup;
    RtlInitUnicodeString(&pslookup, L"ObGetObjectType");

    //               类似于应用层的GetProcAddress
    addr = (PUCHAR)MmGetSystemRoutineAddress(&pslookup);


    g_OBGetObjectType = (OBGETOBJECTTYPE)addr;
}
typedef struct _OBJECT_TYPE_INITIALIZER {
    USHORT Length;
    UCHAR ObjectTypeFlags;
    UCHAR CaseInsensitive;
    UCHAR UnnamedObjectsOnly;
    UCHAR  UseDefaultObject;
    UCHAR  SecurityRequired;
    UCHAR MaintainHandleCount;
    UCHAR MaintainTypeList;
    UCHAR SupportsObjectCallbacks;
    UCHAR CacheAligned;
    ULONG ObjectTypeCode;
    BOOLEAN InvalidAttributes;
    GENERIC_MAPPING GenericMapping;
    BOOLEAN   ValidAccessMask;
    BOOLEAN   RetainAccess;
    POOL_TYPE PoolType;
    BOOLEAN DefaultPagedPoolCharge;
    BOOLEAN DefaultNonPagedPoolCharge;
    PVOID DumpProcedure;
    ULONG OpenProcedure;
    PVOID CloseProcedure;
    PVOID DeleteProcedure;
    ULONG ParseProcedure;
    ULONG SecurityProcedure;
    ULONG QueryNameProcedure;
    UCHAR OkayToCloseProcedure;
} OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;
typedef struct _OBJECT_TYPE {
    LIST_ENTRY TypeList;
    UNICODE_STRING Name;
    PVOID DefaultObject;
    ULONG Index;
    ULONG TotalNumberOfObjects;
    ULONG TotalNumberOfHandles;
    ULONG HighWaterNumberOfObjects;
    ULONG HighWaterNumberOfHandles;
    OBJECT_TYPE_INITIALIZER TypeInfo;
    ULONG  TypeLock;
    ULONG   Key;
    LIST_ENTRY   CallbackList;
} OBJECT_TYPE, *POBJECT_TYPE;
HANDLE KernelCreateFile(
    IN PUNICODE_STRING pstrFile, // 文件路径符号链接
    IN BOOLEAN         bIsDir)   // 是否为文件夹
{
    HANDLE          hFile = NULL;
    NTSTATUS        Status = STATUS_UNSUCCESSFUL;
    IO_STATUS_BLOCK StatusBlock = { 0 };
    ULONG           ulShareAccess =
        FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE;
    ULONG           ulCreateOpt =
        FILE_SYNCHRONOUS_IO_NONALERT;
    // 1. 初始化OBJECT_ATTRIBUTES的内容
    OBJECT_ATTRIBUTES objAttrib = { 0 };
    ULONG             ulAttributes =
        OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE;
    InitializeObjectAttributes(
        &objAttrib,    // 返回初始化完毕的结构体
        pstrFile,      // 文件对象名称
        ulAttributes,  // 对象属性
        NULL, NULL);   // 一般为NULL
    // 2. 创建文件对象
    ulCreateOpt |= bIsDir;
    FILE_DIRECTORY_FILE : FILE_NON_DIRECTORY_FILE;
    Status = ZwCreateFile(
        &hFile,                // 返回文件句柄
        GENERIC_ALL,           // 文件操作描述
        &objAttrib,            // OBJECT_ATTRIBUTES
        &StatusBlock,          // 接受函数的操作结果
        0,                     // 初始文件大小
        FILE_ATTRIBUTE_NORMAL, // 新建文件的属性
        ulShareAccess,         // 文件共享方式
        FILE_OPEN_IF,          // 文件存在则打开不存在则创建
        ulCreateOpt,           // 打开操作的附加标志位
        NULL,                  // 扩展属性区
        0);                   // 扩展属性区长度
    if (!NT_SUCCESS(Status))
        return (HANDLE)-1;
    return hFile;
}
void OnHook()
{
    //1 随便打开一个文件,得到一个文件对象
    UNICODE_STRING ustrFilePath;
    RtlInitUnicodeString(&ustrFilePath,
        L"\\??\\D:\\123.txt");
    HANDLE hFile = KernelCreateFile(&ustrFilePath, FALSE);
    PVOID pObject;
    ObReferenceObjectByHandle(hFile, GENERIC_ALL, NULL, KernelMode, &pObject, NULL);

    //2 通过这个文件对象得到OBJECT_TYPE这个结构体
    OBJECT_TYPE * FileType = NULL;
    FileType = (OBJECT_TYPE *)g_OBGetObjectType(pObject);
    //3 把这个函数地址保存起来
    g_OldFun = (PARSEPRODECEDURE)FileType->TypeInfo.ParseProcedure;
    //4 把这个函数地址替换为自己的函数。
    FileType->TypeInfo.ParseProcedure = (ULONG)NewParseProcedure;
}

void OffHook()
{

}

NTSTATUS DriverEntry(
    PDRIVER_OBJECT  pDriver,
    PUNICODE_STRING strRegPath)
{
    // 避免编译器报未引用参数的警告
    UNREFERENCED_PARAMETER(strRegPath);
    // 打印一行字符串,并注册驱动卸载函数,以便于驱动卸载
    DbgBreakPoint();//_asm int 3
    __try
    {
        GetObjectTypeAddress();
        OnHook();
    }
    except(1)
    {
        KdPrint(("掠过一个异常\n"));
    }
    KdPrint(("My First Dirver!"));
    pDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}
VOID DriverUnload(PDRIVER_OBJECT objDriver) {
    // 避免编译器报未引用参数的警告
    UNREFERENCED_PARAMETER(objDriver);
    // 什么也不做,只打印一行字符串
    KdPrint(("My Dirver is unloading..."));
}

参考资料:

[1]:毛德操,《Windows内核情景分析》

保护内核对象—对象挂钩(Object Hook
qq_42814021的博客
10-17 1842
内核对象 每个内核对象实际上都是一个内存块,它是由操作系统内核分配的,并且只能由操作系统内核访问。这个内存块是一个数据结构,它的成员维护着和这个对象相关的信息。但是应用程序不能直接访问和修改这些数据结构,它们需要通过句柄。 先通过系统调用打开/创建内核对象,让当前进程与目标对象之间建立起连接,此时就会返回一个句柄。然后调用Windows提供的一系列API函数就能访问这些内核对象。所以句柄其实相当于一个接口,Ring3层通过它来访问Ring0层的一些数据结构。 内核对象由对象头和对象体组成。 当应用程序打开内
深入探究RTOS的IPC机制——消息队列
m0_74976404的博客
06-20 1428
阅读引言: 因为将来工作需要, 最近在深入学习OS的内部机制,我把我觉得重要的、核心的东西分享出来, 希望对有需要的人有所帮助, 阅读此文需要读友有RTOS基础, 以及一些操作系统的基础知识, 学习过Linux的最佳, 特别是想RT-Thread适合Linux非常像的, 代码风格、IPC机制等等。
objectHook简单介绍
o330820350的专栏
09-12 1161
标 题: 【原创】objectHook简单介绍 作 者: ggdd 时 间: 2011-01-15,13:13:20 链 接: http://bbs.pediy.com/showthread.php?t=128161 其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄
[Windows 驱动开发] object hook
LYSM
08-30 706
内核对象种类 名称 类型 Job、Directory 对象目录中的路径 SymbolLink 符号链接 Section 内存映射文件 Port LPC端口 IoCompletion Io完成端口 File 文件(并非专指磁盘文件) Mutex、Event、Semaphore、Timer 同步对象 Key 注册表中的键 Token 用户/组令牌 Process、Thread 进程线程 Pipe 管道 Mailslot 邮件槽 Debug 调试端口
Object Hook 简单介绍
liujiayu2的专栏
07-18 1526
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,水平才能提高得快。    第一我们先看下OBJECT的组成 主要是3部分 如下图
RootKit hook 之[一] object hook
06-03 868
作 者: combojiang时 间: 2008-01-08,11:43链 接: http://bbs.pediy.com/showthread.php?t=57900今天是2008年1月8号,一个非常响亮的日子,今天我们将开始rootkit实战之旅。第一篇是object hook.这篇文章来源于前段时间我逆向的机器狗代码,前段时间我只是贴出了应用的部分,对于内核的部分,我没有贴出来,主要是害怕他
RTM_EXPORT(rt_object_get_information);如何调用rt_object_get_information函数
最新发布
03-11
首先,我需要回忆一下RT-Thread操作系统中关于对象管理的相关知识。 根据提供的引用内容,特别是引用[5]中的rt_object_init函数分析,可以看出RT-Thread通过对象容器管理不同类型的对象,比如线程、定时器等。每个...
TDI_HOOK一个TDI hook的源代码
04-20
7. **安全考虑**:由于Hook技术常被用于安全相关的应用,了解安全编程原则,防止注入、缓冲区溢出等攻击是非常重要的。 8. **兼容性和性能优化**:考虑到Windows系统的更新和不同的硬件环境,理解如何保证TDI Hook...
深入探讨Object HOOK内核钩子技术
对象Hook技术通过在对象相关函数或方法被调用前后插入自定义代码来实现控制和监视功能。 在理解了内核Hook技术和对象Hook的概念后,我们可以更具体地讨论本次文档的主题——Object HookObject Hook的目标通常是对...
VB调用VC的全局钩子,屏蔽键盘任意键.rar_vb hook屏蔽键盘_vb 键盘鼠标_vb 鼠标键盘_屏蔽全局键盘
09-14
下面将详细介绍这些知识点。 首先,VB(Visual Basic)是一种由Microsoft开发的面向对象的编程环境,主要用于快速应用程序开发(RAD)。而VC(Visual C++)则是C++编程的集成开发环境,支持更底层的系统访问。 1. ...
内核Hook资料-Object HOOK
12-31
内核Hook资料-Object HOOK
objecthook_objecthook_
09-30
hook文件对象回调函数 没有做任何事只是打印全路径
object hook
04-21 4738
object是什么东西?光从名字上面不难看出,对象。这篇是关于内核对象的hook,为什么要hook他呢,额,这个嘛。因人而异。 看雪上面有很详细的说明,本菜鸟算是抄袭过来而已。版权归看雪所有。 objectHook简单介绍 windbg截图为XP SP3系统。 _OBJECT_HEADER结构: typedef struct _OBJECT_HEADER
[内核安全3]内核态Rootkit之Object Hook
輚至消亡
12-18 584
Object Hook是通过挂钩OBJECT_HEADER其中一些字段来实现的。在Windows中通过对象管理器来管理所有对象,可以使用WinObj来观察一下WinXP SP3下的对象类型: Windows中包含三种对象: 执行体对象 内核对象 GDI/User对象 这里我们挂钩的就是执行体对象。 这里实验机器是WinXP SP3, 首先来看一下进程对象的数据结构: 然后随便找一个进程对象,寻找他的对象结构体,比如之前打开的WinObj进程, 通过!object命令查找到了其进
ObjectType HOOK干涉注册表操作
03-22 961
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象对象头(object_header)有一个object type结构object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER typedef struct _OBJECT_TYPE_INITIALIZER {USHORT Length;BOOLE
内核对象HOOK
weixin_45050926的博客
02-03 394
内核对象HOOK 内核对象的结构 首先我们来了解一下内核对象的基本结构,每一个内核对象都是由对象头和对象体组成,对象头都是一样的,对象体 不同的内核对象是不一样的。该结构体请参考内核结构体。 //0x20 bytes (sizeof) struct _OBJECT_HEADER { LONG PointerCount; ...
对象钩子(Object Hook)技术实战应用示例
weixin_31938351的博客
12-12 926
本文还有配套的精品资源,点击获取 简介:对象钩子技术是一种编程技术,用于拦截和修改对象操作,常用于Windows系统编程和调试。本压缩包包含了驱动工程和Win32应用程序的示例代码,展示了如何实际应用Object Hook,包括注册系统钩子、编写钩子处理程序、安装和卸载钩子以及处理回调。开发者通过实践这些代码,能够掌握Object Hook技术的核心原理和应用,对进行系统级...
一个简单的Object Hook的例子(win7 32bit)
08-29 241
Object Hook简单的来说就是Hook对象,这里拿看雪上的一个例子,因为是在win7 32位上的,有些地方做了些修改。 _OBJECT_HEADER: kd> dt _OBJECT_HEADERnt!_OBJECT_HEADER +0×000 PointerCount : Int4B +0×004 HandleCount : Int4B ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值