HOOK ObjectType 干涉文件访问

最新推荐文章于 2022-10-22 09:51:42 发布
最新推荐文章于 2022-10-22 09:51:42 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: window系统内核编程 软件安全 文章标签: hook object attributes struct descriptor string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zacklin/article/details/7778825
本文介绍了一个内核级的文件访问拦截方法,通过修改系统解析过程来阻止特定文件的打开操作。作者试图通过替换ParseProcedure来实现对文件名的检查,并过滤包含特定字符串的文件名。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前几日在网上看到MJ0011大虾写的一篇《ObjectType HOOK干涉注册表操作(bypass icesword,gmer,NIAP,etc.)》的文章,感觉很有兴趣。MJ大虾的文章给出的代码主要是干涉注册表的。而ObjectType 可以干涉的不只是注册表,所以就想到用同样的方法去干涉文件的访问,举一反三嘛。

然后问题就出现了

用Windbg跟了一下,发现在pNewParseProcedure函数中出了问题。
本来是想通过ObjectName->Buffer得到打开的文件名,然后看其中有没有2.TXT这个字符串进行过滤的。但是我用Windbg看了看ObjectName->Buffer,貌似找不到我打开文件的文件名。
  1. #include <ntddk.h>
  2. #define MAX_PATH 266
  3. #define NUMBER_HASH_BUCKETS 37
  4. #define LINK_NAME L"\\DosDevices\\StopOpenLink"
  5. #define DEVICE_NAME L"\\Device\\StopLinkName"
  6. PVOID pOldParseProcedure = NULL;


  9. typedef struct _OBJECT_DIRECTORY_ENTRY {
  10.     struct _OBJECT_DIRECTORY_ENTRY *ChainLink;
  11.     PVOID Object;
  12. } OBJECT_DIRECTORY_ENTRY, *POBJECT_DIRECTORY_ENTRY;

  14. typedef struct _OBJECT_DIRECTORY {
  15.     struct _OBJECT_DIRECTORY_ENTRY *HashBuckets[ NUMBER_HASH_BUCKETS ];
  16.     struct _OBJECT_DIRECTORY_ENTRY **LookupBucket;
  17.     BOOLEAN LookupFound;
  18.     USHORT SymbolicLinkUsageCount;
  19.     struct _DEVICE_MAP *DeviceMap;
  20. } OBJECT_DIRECTORY, *POBJECT_DIRECTORY;

  22. typedef struct _DEVICE_MAP {
  23.     ULONG ReferenceCount;
  24.     POBJECT_DIRECTORY DosDevicesDirectory;
  25.     ULONG DriveMap;
  26.     UCHAR DriveType[ 32 ];
  27. } DEVICE_MAP, *PDEVICE_MAP;


  30. typedef struct _OBJECT_TYPE_INITIALIZER {
  31.   USHORT Length;
  32.   BOOLEAN UseDefaultObject;
  33.   BOOLEAN CaseInsensitive;
  34.   ULONG InvalidAttributes;
  35.   GENERIC_MAPPING GenericMapping;
  36.   ULONG ValidAccessMask;
  37.   BOOLEAN SecurityRequired;
  38.   BOOLEAN MaintainHandleCount;
  39.   BOOLEAN MaintainTypeList;
  40.   POOL_TYPE PoolType;
  41.   ULONG DefaultPagedPoolCharge;
  42.   ULONG DefaultNonPagedPoolCharge;
  43.   PVOID DumpProcedure;
  44.   PVOID OpenProcedure;
  45.   PVOID CloseProcedure;
  46.   PVOID DeleteProcedure;
  47.   PVOID ParseProcedure;
  48.   PVOID SecurityProcedure;
  49.   PVOID QueryNameProcedure;
  50.   PVOID OkayToCloseProcedure;
  51. } OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;


  54. typedef struct _OBJECT_TYPE {
  55.   ERESOURCE Mutex;
  56.   LIST_ENTRY TypeList;
  57.   UNICODE_STRING Name; // Copy from object header for convenience
  58.   PVOID DefaultObject;
  59.   ULONG Index;
  60.   ULONG TotalNumberOfObjects;
  61.   ULONG TotalNumberOfHandles;
  62.   ULONG HighWaterNumberOfObjects;
  63.   ULONG HighWaterNumberOfHandles;
  64.   OBJECT_TYPE_INITIALIZER TypeInfo;
  65. #ifdef POOL_TAGGING
  66.   ULONG Key;
  67. #endif //POOL_TAGGING
  68. } OBJECT_TYPE, *POBJECT_TYPE;
  69. typedef struct _OBJECT_CREATE_INFORMATION {
  70.   ULONG Attributes;
  71.   HANDLE RootDirectory;
  72.   PVOID ParseContext;
  73.   KPROCESSOR_MODE ProbeMode;
  74.   ULONG PagedPoolCharge;
  75.   ULONG NonPagedPoolCharge;
  76.   ULONG SecurityDescriptorCharge;
  77.   PSECURITY_DESCRIPTOR SecurityDescriptor;
  78.   PSECURITY_QUALITY_OF_SERVICE SecurityQos;
  79.   SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
  80. } OBJECT_CREATE_INFORMATION, *POBJECT_CREATE_INFORMATION;



  84. typedef struct _OBJECT_HEADER {
  85.   LONG PointerCount;
  86.   union {
  87.     LONG HandleCount;
  88.     PSINGLE_LIST_ENTRY SEntry;
  89.   };
  90.   POBJECT_TYPE Type;
  91.   UCHAR NameInfoOffset;
  92.   UCHAR HandleInfoOffset;
  93.   UCHAR QuotaInfoOffset;
  94.   UCHAR Flags;
  95.   union
  96.   {
  97.     POBJECT_CREATE_INFORMATION ObjectCreateInfo;
  98.     PVOID QuotaBlockCharged;
  99.   };
  100.   
  101.   PSECURITY_DESCRIPTOR SecurityDescriptor;
  102.   QUAD Body;
  103. } OBJECT_HEADER, *POBJECT_HEADER;
  104. POBJECT_TYPE pObHeader= NULL;
  105. NTSTATUS pNewParseProcedure(POBJECT_DIRECTORY RootDirectory,
  106.             POBJECT_TYPE ObjectType,
  107.             PACCESS_STATE AccessState,
  108.             KPROCESSOR_MODE AccessCheckMode,
  109.             ULONG Attributes,
  110.             PUNICODE_STRING ObjectName,
  111.             PUNICODE_STRING RemainingName,
  112.             PVOID ParseContext ,
  113.             PSECURITY_QUALITY_OF_SERVICE SecurityQos ,
  114.             PVOID *Object)
  115. {
  116.   NTSTATUS ntStatus = STATUS_SUCCESS;
  117.   WCHAR wOpenName[MAX_PATH];
  118.   RtlCopyMemory(wOpenName,ObjectName->Buffer,ObjectName->MaximumLength);
  119.   
  120.   if (wcsstr(wOpenName,L"2.TXT"))
  121.   {
  122.     return STATUS_OBJECT_NAME_NOT_FOUND;
  123.   }
  124.   __asm
  125.   {
  126.       push eax
  127.       push Object
  128.       push SecurityQos
  129.       push ParseContext
  130.       push RemainingName
  131.       push ObjectName
  132.       push Attributes
  133.       movzx eax, AccessCheckMode
  134.       push eax
  135.       push AccessState
  136.       push ObjectType
  137.       push RootDirectory
  138.       call pOldParseProcedure
  139.       
  140.       mov ntStatus, eax
  141.       pop eax
  142.       
  143.   }
  144.   return ntStatus;

  146. }


  149. NTSTATUS InstallHook()
  150. {
  151.   NTSTATUS  ntStatus;
  152.   HANDLE hFile;
  153.   UNICODE_STRING StName;
  154.   OBJECT_ATTRIBUTES obAttrib;
  155.   IO_STATUS_BLOCK ioStaBlock;
  156.   PVOID pObject = NULL;

  158.   KdPrint(("it start now!\n"));
  159.   RtlInitUnicodeString(&StName,L"\\DosDevices\\C:\\1.txt");
  160.   InitializeObjectAttributes(&obAttrib,&StName,OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE ,\
  161.     0,NULL);
  162.   ntStatus = ZwOpenFile(&hFile,GENERIC_ALL,&obAttrib,&ioStaBlock,\
  163.     0,FILE_NON_DIRECTORY_FILE);
  164.   if (!NT_SUCCESS(ntStatus))
  165.   {
  166.     KdPrint(("File Not Open\n"));
  167.     return ntStatus;
  168.   }
  169.   KdPrint(("File Open\n"));
  170.   ntStatus = ObReferenceObjectByHandle(hFile,GENERIC_ALL,NULL,KernelMode,&pObject,NULL);
  171.   if (!NT_SUCCESS(ntStatus))
  172.   {
  173.     KdPrint(("Object Not Open\n"));
  174.     return ntStatus;
  175.   }
  176.   KdPrint(("Object Open\n"));
  177.   __asm
  178.   {
  179.     cli;
  180.     mov eax, cr0;
  181.     and eax, not 10000h;
  182.     mov cr0, eax;
  183.   }
  184.   __asm
  185.   {
  186.     push eax;
  187.     mov eax,pObject;
  188.     mov eax,[eax-10h];
  189.     mov pObHeader,eax;
  190.     pop eax;
  191.   }
  192.   pOldParseProcedure = pObHeader->TypeInfo.ParseProcedure;
  193.   if (!MmIsAddressValid(pOldParseProcedure))
  194.   {
  195.     ObDereferenceObject(pObject);
  196.     ntStatus = ZwClose(hFile);
  197.     return ntStatus;
  198.   }

  200.   pObHeader->TypeInfo.ParseProcedure = pNewParseProcedure;
  201.   __asm
  202.   {
  203.     mov eax, cr0;
  204.     or eax, 10000h;
  205.     mov cr0, eax;
  206.     sti;
  207.   }
  208.   ntStatus = ZwClose(hFile);
  209.   return ntStatus;
  210. }

  212. NTSTATUS soDispatch(IN PDEVICE_OBJECT pDeviceObject,IN PIRP pIrp)
  213. {
  214.   NTSTATUS ntStatus = STATUS_SUCCESS;
  215.   PIO_STACK_LOCATION pIrpSt = NULL;
  216.   pIrpSt = IoGetCurrentIrpStackLocation(pIrp);

  218.   ntStatus = pIrp->IoStatus.Status;
  219.   IoCompleteRequest(pIrp,IO_NO_INCREMENT);
  220.   return ntStatus;
  221. }
  222. void soUnload(IN PDRIVER_OBJECT  DriverObject)
  223. {
  224.   UNICODE_STRING uTempString;
  225.   
  226.   __asm
  227.   {
  228.     cli;
  229.     mov eax, cr0
  230.     and eax, not 10000h
  231.     mov cr0, eax
  232.   }
  233.   pObHeader->TypeInfo.ParseProcedure = pOldParseProcedure;
  234.   __asm
  235.   {
  236.     mov eax, cr0;
  237.     or eax, 10000h
  238.     mov cr0, eax;
  239.     sti;
  240.   }
  241.   RtlInitUnicodeString(&uTempString,LINK_NAME);
  242.   IoDeleteSymbolicLink(&uTempString);
  243.   IoDeleteDevice(DriverObject->DeviceObject);
  244. }


  247. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath )
  248. {
  249.   NTSTATUS ntStatus = STATUS_SUCCESS;
  250.   UNICODE_STRING uLinkName;
  251.   UNICODE_STRING uDeviceName;
  252.   PDEVICE_OBJECT ObDevice;

  254.   RtlInitUnicodeString(&uDeviceName,DEVICE_NAME);
  255.   ntStatus = IoCreateDevice(DriverObject,0,&uDeviceName,FILE_DEVICE_UNKNOWN,0,FALSE,&ObDevice);
  256.   if (!NT_SUCCESS(ntStatus))
  257.   {
  258.     return ntStatus;
  259.   }
  260.   RtlInitUnicodeString(&uLinkName,LINK_NAME);
  261.   ntStatus = IoCreateSymbolicLink(&uLinkName,&uDeviceName);
  262.   if (!NT_SUCCESS(ntStatus))
  263.   {
  264.     return ntStatus;
  265.   }
  266.   DriverObject->MajorFunction[IRP_MJ_CREATE] = soDispatch;
  267.   DriverObject->MajorFunction[IRP_MJ_CLOSE] = soDispatch;
  268.   DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = soDispatch;

  270.   DriverObject->DriverUnload = soUnload;
  271.   InstallHook();

  273.   return ntStatus;

  275. }
复制代码

实在没办法了上论坛请教各位。请各位赐教!
最近研究的windows API
成长之路
04-16 2644
CreateToolhelp32Snapshot  CreateToolhelp32Snapshot函数为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]。  HANDLE WINAPI CreateToolhelp32Snapshot(  DWORD dwFlags,  DWORD th32ProcessID 
AutoCAD机械制图英语词汇
mybirdsky的专栏
01-17 2739
2006-04-05 21:25:53 AutoCAD机械制图英语词汇2D Solid 二维实体 2D 实面 2D Wireframe 二维线框 3D Array 三维阵列 3D 阵列 3D Dynamic View 三维动态观察 3D 动态检视 3d objects 三维物体 3D 物件 3D Orbit 三维轨道 3D 动态 3D Orbit 三维动态观察 3D
内核Hook资料-Object HOOK
12-31
内核Hook资料-Object HOOK
【记录】学习下ObjectTypeHook Check
Returns' Station
05-11 1039
看了下sudami那篇文章,记录+膜拜一下~~ 很简单,就是太麻烦,思路还是可以学习下的。之前没想过重定位可以用来找引用=。=||| 一般ObjectTypeHook 关注device driver file process thread job 还有 CmpKey,由于检测这个都是靠特征值匹配的,工作量会很大,其他的先无视了。 device driver process 这类导
ObjectType HOOK干涉注册表操作
03-22 961
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象对象头(object_header)有一个object type结构object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER typedef struct _OBJECT_TYPE_INITIALIZER {USHORT Length;BOOLE
自己定义Object Type对抗Object Hook
OSReact的专栏
07-12 1814
莫灰灰版主说“Object hook 自己定义Process Type和Thread Type才是王道。 ” 今天咱就来这个。 Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object,Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体
object hook
04-21 4738
object是什么东西?光从名字上面不难看出,对象。这篇是关于内核对象的hook,为什么要hook他呢,额,这个嘛。因人而异。 看雪上面有很详细的说明,本菜鸟算是抄袭过来而已。版权归看雪所有。 objectHook简单介绍 windbg截图为XP SP3系统。 _OBJECT_HEADER结构: typedef struct _OBJECT_HEADER
pytest系列——pytest_collection_modifyitems钩子函数修改测试用例执行顺序
mashang_z111的博客
10-11 2240
pytest默认执行用例是根据项目下的文件名称按ascii码去收集运行的;文件中的用例是从上往下按顺序执行的。pytest_collection_modifyitems 这个函数顾名思义就是收集测试用例、改变用例的执行顺序的。
RT_thread(五)线程间同步之互斥量
ljh5930的博客
05-25 550
文章目录互斥量一、互斥量工作机制1、优先级反转问题2.优先级继承机制3.示例图分析1.优先级反转2.优先级继承4代码分析1.互斥量控制块2互斥量管理图3初始化和脱离4创建和删除5 获取互斥量6释放互斥量 互斥量 互斥量又叫相互排斥的信号量,是一种特殊的二值信号量。互斥量类似于只有一个车位的停车场:当有一辆车进入的时候,将停车场大门锁住,其他车辆在外面等候。当里面的车出来时,将停车场大门打开,下一辆车才可以进入。 一、互斥量工作机制 互斥量的状态只有两种,开锁或闭锁。用互斥量处理不同线程对临界资源的同步访
《果壳中的C# C# 5.0 权威指南》 (01-08章) - 学习笔记
GATTACA2011
02-05 1533
《果壳中的C# C# 5.0 权威指南》 ========== ========== ========== [作者] (美) Joseph Albahari (美) Ben Albahari [译者] (中) 陈昇 管学理 曾少宁 杨庆川 [出版] 中国水利水电出版社 [版次] 2013年08月 第1版 [印次] 2013年08月 第1次 印刷 [定价] 118.00元 ========== =...
勘误 win7x64下对OpenProcedure的ObjectHook
zhuhuibeishadiao
06-10 2838
那个时候刚接触ObjectHook 我对进程对象下的OpenProcedure进行HOOK 保护程序typedef LONG32 (NEAR CDECL FUNCT_005B_0FC1_OpenProcedure) (enum _OB_OPEN_REASON, CHAR, UINT64 /*struct _EPROCESS**/, UINT64 /*VOID**/, UINT64 /*ULONG
ObjectHeader、ObjectTypeObjectHook的学习
weixin_30887919的博客
03-23 658
  0x01 前言   之前研究RootKit技术,发现了对象钩子这个概念,一直不知道是什么,然后在网上搜,最先找到的是sudami的一篇文章,于是跟着大牛的脚步研究,其中也参考<内核情景分析>,这本书真是每次看每次有收获。下面记录一下学习过程。   0x02 OBJECT_HEADER结构   这是对象的数据结构的形态,其中OBJECT_HEADER...
Object Hook 简单介绍
liujiayu2的专栏
07-18 1525
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,水平才能提高得快。    第一我们先看下OBJECT的组成 主要是3部分 如下图
ObjectC Hook函数的实现与实战
yixiangboy的博客
05-21 3841
一、简介在一个类没有实现源码的情况下,如果你要改变一个类的实现方法,你可以选择重继承该类,然后重写方法,或者使用Category类别名暴力抢先的方式。但是这两种方式,都需要我们在使用的时候改变我们的编程方式,或者继承该类,或者需要引入Category。下面推出的一种方式,不需要我们修改我们编写逻辑的代码,就能实现函数的Hook功能,那就是RunTime中的Method Swizzling—交换方法的
RootKit 应用之[一] object hook
weixin_30904593的博客
09-23 194
标 题: RootKit 应用之[一] object hook作 者: combojiang时 间: 2008-01-08,11:43链 接: http://bbs.pediy.com/showthread.php?t=57900今天是2008年1月8号,一个非常响亮的日子,今天我们将开始rootkit实战之旅。第一篇是objecthook.这篇文章来源于前段时间我逆向的机器狗代码,前段时间...
win0环异常处理与Object-Hook
weixin_33943347的博客
06-22 132
0环下没有veh有seh #include <ntifs.h> VOID DriverUnload(PDRIVER_OBJECT pDriver); NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pPath) { UNREFERENCED_PARAMETER(pPath); DbgBreak...
对象管理---2
For Geek
05-24 587
IopCreateObjectTypes 以I/O子系统为例,其初始化过程中创建了Adapter,Controller,Device,Driver,IoCompletion,File等对象类型。 BOOLEAN INIT_FUNCTION NTAPI IopCreateObjectTypes(VOID) { OBJECT_TYPE_INITIALIZER ObjectTypeInitial...
驱动开发:内核枚举进程与线程ObCall回调
优快云
10-22 2万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
深入探讨Object HOOK内核钩子技术
通过内核Hook,开发者可以访问和修改操作系统中几乎所有的信息,包括文件系统、网络通信、内存管理等。 对象钩子(Object Hook)通常是指对特定对象进行监控、拦截或控制的技术,它特别关注于操作系统中的对象操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值