[求助]重载内核后对Object Hook的处理-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼旧内核不用管它，只要在新内核里面修改一下关键判断，就无视object hook了 2013-8-23 08:33 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 3 楼额，似乎比较麻烦的样子。。或许只需要处理几个关键的类型么 2013-8-23 11:18 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 4 楼消化不了没有基础 2013-8-23 18:02 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 5 楼关于object hook: http://bbs.pediy.com/showthread.php?t=176443 关键就是改变几个OBJECT_METHOD的地址，使得系统在进行相关操作的时候调用它们。这些OBJECT_METHOD在OBJECT_TYPE_INITIALIZER 结构体里面，而OBJECT_TYPE中有一个成员就是OBJECT_TYPE_INITIALIZER结构体，目前常见的办法是修改OBJECT_HEADER里面的POBJECT_TYPE指针，指向一个自己准备好的OBJECT_TYPE中结构体 2013-8-23 19:58 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 6 楼谢谢楼主盛情款待 2013-8-23 20:49 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 7 楼你也可以想办法让他不调用hook的函数， wrk里指明了调用的路线 ObOpenObjectByPointer(name)-> ObpCreateHandle->ObpIncrementHandleCount-> ObCheckObjectAccess -> ObGetObjectSecurity () { ObjectType->TypeInfo.SecurityProcedure（xxx） //能否在新内核里修改这个地方，调用原始的method。 } 2013-8-24 14:42 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 8 楼这个方法俺想过，但是对于ParsePrudure似乎不能这样处理，如果考虑到存在第三方对象的话。目前在尝试hook调用的地方，判断一下调对象类型，如果是Process或者Thread之类的就去调用重载的，不过似乎很累很麻烦。。。。 2013-8-24 20:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼旧内核不用管它，只要在新内核里面修改一下关键判断，就无视object hook了 2013-8-23 08:33 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 3 楼额，似乎比较麻烦的样子。。或许只需要处理几个关键的类型么 2013-8-23 11:18 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 4 楼消化不了没有基础 2013-8-23 18:02 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 5 楼关于object hook: http://bbs.pediy.com/showthread.php?t=176443 关键就是改变几个OBJECT_METHOD的地址，使得系统在进行相关操作的时候调用它们。这些OBJECT_METHOD在OBJECT_TYPE_INITIALIZER 结构体里面，而OBJECT_TYPE中有一个成员就是OBJECT_TYPE_INITIALIZER结构体，目前常见的办法是修改OBJECT_HEADER里面的POBJECT_TYPE指针，指向一个自己准备好的OBJECT_TYPE中结构体 2013-8-23 19:58 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 6 楼谢谢楼主盛情款待 2013-8-23 20:49 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 7 楼你也可以想办法让他不调用hook的函数， wrk里指明了调用的路线 ObOpenObjectByPointer(name)-> ObpCreateHandle->ObpIncrementHandleCount-> ObCheckObjectAccess -> ObGetObjectSecurity () { ObjectType->TypeInfo.SecurityProcedure（xxx） //能否在新内核里修改这个地方，调用原始的method。 } 2013-8-24 14:42 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 8 楼这个方法俺想过，但是对于ParsePrudure似乎不能这样处理，如果考虑到存在第三方对象的话。目前在尝试hook调用的地方，判断一下调对象类型，如果是Process或者Thread之类的就去调用重载的，不过似乎很累很麻烦。。。。 2013-8-24 20:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复