[求助]调用ObReferecsObjectByHandle问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
莫灰灰雪币： 2331 活跃值： (2220) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 2 楼应该是FILE_OBJECT吧. 2011-9-1 00:08 0
心慯失忆雪币： 54 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	心慯失忆 3 楼可是我找了FILE_OBJECT的结构，也对不上那段汇编代码.... 2011-9-1 01:24 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 4 楼看了下WRK，应该是： typedef struct _SECTION { MMADDRESS_NODE Address; PSEGMENT Segment; LARGE_INTEGER SizeOfSection; union { ULONG LongFlags; MMSECTION_FLAGS Flags; } u; MM_PROTECTION_MASK InitialPageProtection; } SECTION, PSECTION; if(ObReferenceObjectByHandle(SectionHandle, SECTION_MAP_EXECUTE, MmSectionObjectType, ,KernelMode, &PsProcess,NULL) == STATUS_SUCCESS) { __asm { pushad mov eax,PsProcess ;函数返回的PVOID 指针 mov eax,[eax+14h] ;MMADDRESS_NODE 5个DWORD，所以这里+14h取的是PSEGMENT Segment; add eax,uImageOffset ;一个结构偏移，如果在XP以前系统值0x18,XP下为0 mov ebx,[eax] ;nt!_SEGMENT: +0x000 ControlArea : Ptr32 _CONTROL_AREA test byte ptr[ebx+20h],20h jz NO_IMAGE_SECTION mov bFlag,TRUE mov eax,[ebx+24h] ;EBX指向一个_CONTROL_AREA，+0x024 FilePointer : Ptr32 _FILE_OBJECT，所以EAX指向一个_FILE_OBJECT mov ebx,[eax+4] ;EAX指向一个_FILE_OBJECT， +0x004 DeviceObject : Ptr32 _DEVICE_OBJECT，所以EBX指向一个DeviceObject mov hFile,ebx ;一个句柄，上面的DeviceObject add eax,30h mov ObjectName,eax ;一个PUNICODE_STRING 字符串，nt!_FILE_OBJECT +0x030 FileName : _UNICODE_STRING popad NO_IMAGE_SECTION: } 2011-9-1 02:37 0
心慯失忆雪币： 54 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	心慯失忆 5 楼谢谢！虽然昨天在MSDN的在线文档中找到的SECTION_OBJECT到FILE_OBJECT....但还是谢谢你这么详细的解说！ 2011-9-2 03:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
莫灰灰雪币： 2331 活跃值： (2220) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 2 楼应该是FILE_OBJECT吧. 2011-9-1 00:08 0
心慯失忆雪币： 54 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	心慯失忆 3 楼可是我找了FILE_OBJECT的结构，也对不上那段汇编代码.... 2011-9-1 01:24 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 4 楼看了下WRK，应该是： typedef struct _SECTION { MMADDRESS_NODE Address; PSEGMENT Segment; LARGE_INTEGER SizeOfSection; union { ULONG LongFlags; MMSECTION_FLAGS Flags; } u; MM_PROTECTION_MASK InitialPageProtection; } SECTION, PSECTION; if(ObReferenceObjectByHandle(SectionHandle, SECTION_MAP_EXECUTE, MmSectionObjectType, ,KernelMode, &PsProcess,NULL) == STATUS_SUCCESS) { __asm { pushad mov eax,PsProcess ;函数返回的PVOID 指针 mov eax,[eax+14h] ;MMADDRESS_NODE 5个DWORD，所以这里+14h取的是PSEGMENT Segment; add eax,uImageOffset ;一个结构偏移，如果在XP以前系统值0x18,XP下为0 mov ebx,[eax] ;nt!_SEGMENT: +0x000 ControlArea : Ptr32 _CONTROL_AREA test byte ptr[ebx+20h],20h jz NO_IMAGE_SECTION mov bFlag,TRUE mov eax,[ebx+24h] ;EBX指向一个_CONTROL_AREA，+0x024 FilePointer : Ptr32 _FILE_OBJECT，所以EAX指向一个_FILE_OBJECT mov ebx,[eax+4] ;EAX指向一个_FILE_OBJECT， +0x004 DeviceObject : Ptr32 _DEVICE_OBJECT，所以EBX指向一个DeviceObject mov hFile,ebx ;一个句柄，上面的DeviceObject add eax,30h mov ObjectName,eax ;一个PUNICODE_STRING 字符串，nt!_FILE_OBJECT +0x030 FileName : _UNICODE_STRING popad NO_IMAGE_SECTION: } 2011-9-1 02:37 0
心慯失忆雪币： 54 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	心慯失忆 5 楼谢谢！虽然昨天在MSDN的在线文档中找到的SECTION_OBJECT到FILE_OBJECT....但还是谢谢你这么详细的解说！ 2011-9-2 03:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复