[原创]浅谈之创建自己的对象-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]浅谈之创建自己的对象

发表于: 2013-8-26 01:44 13036

[原创]浅谈之创建自己的对象

viphack

2013-8-26 01:44

13036

  kd> dt _object_header
nt!_OBJECT_HEADER
   +0x000 PointerCount     : Int4B
   +0x004 HandleCount      : Int4B
   +0x004 NextToFree       : Ptr32 Void
   +0x008 Type             : Ptr32 _OBJECT_TYPE
   +0x00c NameInfoOffset   : UChar
   +0x00d HandleInfoOffset : UChar
   +0x00e QuotaInfoOffset  : UChar
   +0x00f Flags            : UChar
   +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION//创建时候的对象信息
   +0x010 QuotaBlockCharged : Ptr32 Void
   +0x014 SecurityDescriptor : Ptr32 Void
   +0x018 Body             : _QUAD

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

xiaossshou.rar （7.11kb，156次下载）
360截图20130826014322801.jpg （167.25kb，164次下载）

收藏・18

免费・5

支持

最新回复 (24)
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 2 楼实现XX00 2013-8-26 07:10 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 3 楼学好语文，再来发帖，谢谢 2013-8-26 07:20 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 4 楼应该是个好东西 2013-8-26 08:05 0
xjj 雪币： 286 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 101 粉丝 1 关注私信	xjj 5 楼自己创建个OBJECTTYPE没什么新奇，最关键是如何在驱动反复加载、卸载时，你的OBJECTTYPE还能继续使用，这个才是核心，当然你也可以说，我写个驱动，专门负责产生新的OBJECTTYPE，但毕竟我们在实际应用中，还是希望一个驱动完成你在R0要做的所有事，所以，自己创建的OBJECTTYPE的重用问题就出来了。自己摸索吧，你会找到答案~~ 2013-8-26 08:14 0
yimingqpa 雪币： 6542 活跃值： (4341) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 6 楼最后发现自己创建也不给力，如果xx hook前检测一下就over了,还是Patch判断的好用点....... 2013-8-26 09:30 0
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 7 楼莫名的发现了AntiSpy的身影啊，哈哈。 2013-8-26 09:47 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 8 楼 make 2013-8-26 10:37 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 9 楼来看看，LZ辛苦了. 2013-8-26 10:48 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 10 楼楼主换头像，差点不认识了。 2013-8-26 10:49 0
dahwa 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	dahwa 11 楼这字看的费劲 2013-8-26 11:47 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 12 楼这方法好,屌丝们再也不愁没有对象了. 2013-8-26 13:12 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 13 楼围观大牛 2013-8-26 13:26 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 14 楼 mark 2013-8-26 13:26 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 15 楼 ObCreateObject未文档化。。这么纠结还不如直接Hook几个内核对象API 2013-8-26 14:03 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 16 楼 2013-8-26 14:26 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 17 楼我的语文确实很差，你不爽啊！你们这种人要么喷，说这说那，有本事自己也来几篇文章给大家看看~ 2013-8-26 18:33 0
sunflover 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 89 粉丝 0 关注私信	sunflover 18 楼棒子师傅，你化成灰，我也认得，人家那id多响亮，感情你看人这看脸... 2013-8-26 18:51 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 19 楼用功好，但别撸太晚，对身体不好~ 2013-8-26 20:48 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 20 楼 =，= 真的么，这是真的么。 2013-8-26 23:19 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 21 楼孩子别激动，我没说你分享技术不好，你若分享，应该表达出技术，排版出文章，你这排版，说一句断一句的姿势...... 你连文章都不注意流程，你代码你逆向..... 2013-8-27 08:56 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 22 楼思路还是清晰的~ 源码排版有时候就乱了~ 2013-8-27 10:04 0
冷瞳雪币： 0 活跃值： (1003) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	冷瞳 23 楼受教了，顶你 2013-8-27 10:29 0
zouzhiyong 雪币： 216 活跃值： (144) 能力值： ( LV10，RANK：160 ) 在线值：发帖 26 回帖 251 粉丝 2 关注私信	zouzhiyong 3 24 楼 win的對象管理值得探討的不是五花八門的hook和大量undocumented的操作，而是設計模型，解決橫向和縱向關係對象的時候就可以參考這種樹的設計，譬如管理網絡協議的，也可以採用這種管理模型，/ethernet/ip/tcp/... /ethernet/ip/udp ..，還有句柄表，也是基于樹的一個模型。。越是深層次的管理機制模型越突出，參考價值約大。。。 2013-8-28 11:40 0
八十客车雪币： 245 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 0 关注私信	八十客车 25 楼辛苦了谢谢分享心得 2013-8-29 00:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

viphack

135

发帖

1009

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 2 楼实现XX00 2013-8-26 07:10 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 3 楼学好语文，再来发帖，谢谢 2013-8-26 07:20 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 4 楼应该是个好东西 2013-8-26 08:05 0
xjj 雪币： 286 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 101 粉丝 1 关注私信	xjj 5 楼自己创建个OBJECTTYPE没什么新奇，最关键是如何在驱动反复加载、卸载时，你的OBJECTTYPE还能继续使用，这个才是核心，当然你也可以说，我写个驱动，专门负责产生新的OBJECTTYPE，但毕竟我们在实际应用中，还是希望一个驱动完成你在R0要做的所有事，所以，自己创建的OBJECTTYPE的重用问题就出来了。自己摸索吧，你会找到答案~~ 2013-8-26 08:14 0
yimingqpa 雪币： 6542 活跃值： (4341) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 6 楼最后发现自己创建也不给力，如果xx hook前检测一下就over了,还是Patch判断的好用点....... 2013-8-26 09:30 0
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 7 楼莫名的发现了AntiSpy的身影啊，哈哈。 2013-8-26 09:47 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 8 楼 make 2013-8-26 10:37 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 9 楼来看看，LZ辛苦了. 2013-8-26 10:48 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 10 楼楼主换头像，差点不认识了。 2013-8-26 10:49 0
dahwa 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	dahwa 11 楼这字看的费劲 2013-8-26 11:47 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 12 楼这方法好,屌丝们再也不愁没有对象了. 2013-8-26 13:12 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 13 楼围观大牛 2013-8-26 13:26 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 14 楼 mark 2013-8-26 13:26 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 15 楼 ObCreateObject未文档化。。这么纠结还不如直接Hook几个内核对象API 2013-8-26 14:03 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 16 楼 2013-8-26 14:26 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 17 楼我的语文确实很差，你不爽啊！你们这种人要么喷，说这说那，有本事自己也来几篇文章给大家看看~ 2013-8-26 18:33 0
sunflover 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 89 粉丝 0 关注私信	sunflover 18 楼棒子师傅，你化成灰，我也认得，人家那id多响亮，感情你看人这看脸... 2013-8-26 18:51 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 19 楼用功好，但别撸太晚，对身体不好~ 2013-8-26 20:48 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 20 楼 =，= 真的么，这是真的么。 2013-8-26 23:19 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 21 楼孩子别激动，我没说你分享技术不好，你若分享，应该表达出技术，排版出文章，你这排版，说一句断一句的姿势...... 你连文章都不注意流程，你代码你逆向..... 2013-8-27 08:56 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 22 楼思路还是清晰的~ 源码排版有时候就乱了~ 2013-8-27 10:04 0
冷瞳雪币： 0 活跃值： (1003) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	冷瞳 23 楼受教了，顶你 2013-8-27 10:29 0
zouzhiyong 雪币： 216 活跃值： (144) 能力值： ( LV10，RANK：160 ) 在线值：发帖 26 回帖 251 粉丝 2 关注私信	zouzhiyong 3 24 楼 win的對象管理值得探討的不是五花八門的hook和大量undocumented的操作，而是設計模型，解決橫向和縱向關係對象的時候就可以參考這種樹的設計，譬如管理網絡協議的，也可以採用這種管理模型，/ethernet/ip/tcp/... /ethernet/ip/udp ..，還有句柄表，也是基于樹的一個模型。。越是深層次的管理機制模型越突出，參考價值約大。。。 2013-8-28 11:40 0
八十客车雪币： 245 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 0 关注私信	八十客车 25 楼辛苦了谢谢分享心得 2013-8-29 00:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复