首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
枚举所有ObjectType
发表于: 2011-10-18 09:47 6728

枚举所有ObjectType

opq哲哥 活跃值
2011-10-18 09:47
6728
我现在可以用ZwQueryObject获取所有ObjectType的名字
win7有42个
那么如何获得它们的 object地址
获得了它们的 object地址就可以给任意一个对象类型下objectype hook了

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (6)
opq哲哥
雪    币: 63
活跃值: (177)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
啊 弄到了, ntoskrnl里的全局变量 ObpObjectTypes数组(POBJECT_TYPE[48]) 只允许有48个ObjectType
这里面存的就是全部ObjectType
这个变量没被导出 要在ObCreateObjectType函数中搜特征 才能弄到
win7搜 (cmp ecx,30h)
xp sp3搜 (cmp eax,30h)

ok 没人理我 自己结贴
2011-10-18 16:37
0
creakerzgz
雪    币: 62
活跃值: (72)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
3
不要结贴哇,兄弟,正好需要呢
2011-10-18 16:46
0
opq哲哥
雪    币: 63
活跃值: (177)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
那么如何获得 对象操作函数 的原始地址呢
2011-10-19 11:16
0
creakerzgz
雪    币: 62
活跃值: (72)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
5
ObGetObjectType    win7哇  导出的哇
2011-10-19 11:47
0
opq哲哥
雪    币: 63
活跃值: (177)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
你在说什么呢 ObGetObjectType要传个对象参数的 而且从中获得的ObjectType->TypeInfo里的操作函数也不是原始地址
我要原始地址 需要对ntoskrnl.exe做下映射 从映射内存中读吗
上传的附件:
2011-10-19 12:24
0
creakerzgz
雪    币: 62
活跃值: (72)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
7
要这个啊,解析咯。。。
2011-10-19 13:41
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//