[原创]win7 x64 下的Object Hook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]win7 x64 下的Object Hook

2015-9-1 04:07 13769

[原创]win7 x64 下的Object Hook

kz丶cn

2015-9-1 04:07

13769

x86下Object Hook很简单，后来到了x64,发现Hook蓝屏,于是自己动手研究了下,发现PspProcessOpen是下是mov rcx,qword ptr [rsp+28h]得出至少9个参数
于是开始敲代码呗，不知道的全部用int64替换掉,重要的几个参数通过逆向得到了,
直接上码吧不需要过PG
上个图

#include "ntddk.h"

typedef NTSTATUS (*PSPPROCESSOPEN)(unsigned __int64 arg1,unsigned __int64 arg2,IN PEPROCESS Process OPTIONAL,IN PVOID Object,unsigned __int64 arg5,
								   unsigned __int64 arg6,unsigned __int64 arg7,unsigned __int64 arg8,unsigned __int64 arg9);

//g
ULONG	  IsHook = 1;
ULONGLONG oldOpenProcedure;


NTSTATUS MyOpenProcedure(unsigned __int64 arg1,unsigned __int64 arg2,IN PEPROCESS Process OPTIONAL,IN PVOID Object,unsigned __int64 arg5,
									unsigned __int64 arg6,unsigned __int64 arg7,unsigned __int64 arg8,unsigned __int64 arg9)
{
	if(strstr((char*)Object+0x2e0,"calc.exe")!=0)
	{
		if(strstr((char*)Process+0x2e0,"explorer.exe")!=0)//过滤explorer.exe
		{
			return ((PSPPROCESSOPEN)oldOpenProcedure)(arg1,arg2,Process,Object,arg5,arg6,arg7,arg8,arg9);
		}
		KdPrint(("%s OpenProcess %s",(char*)Process+0x2e0,(char*)Object+0x2e0));//不是2d8 ???;
		return STATUS_UNSUCCESSFUL;
	}
		
		
	return ((PSPPROCESSOPEN)oldOpenProcedure)(arg1,arg2,Process,Object,arg5,arg6,arg7,arg8,arg9);
}

void SetObjectHook()
{
	oldOpenProcedure = *(ULONGLONG*)((ULONGLONG)*PsProcessType+0x78);
	if(oldOpenProcedure ==0)
	{
		KdPrint(("OpenProcedure is NULL;"));
		IsHook =0;
		return;//如果是NULL 说明系统没有这个回调 返回;
	}
	*(ULONGLONG*)((ULONGLONG)*PsProcessType+0x78) = (ULONGLONG)MyOpenProcedure;
}

void ResObjectHook()
{
	if(IsHook==1)
	{
		*(ULONGLONG*)((ULONGLONG)*PsProcessType+0x78) = oldOpenProcedure;
	}
}

void DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	ResObjectHook();
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pUnicodeString)
{
	SetObjectHook();
	pDriverObject->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

object.png （154.46kb，75次下载）

收藏・26

点赞・1

打赏

最新回复 (13)
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 2015-9-1 04:12 2 楼 0 代码写的不好,只是测试用的...
GeekCheng 雪币： 20 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 152 粉丝 13 关注私信	GeekCheng 2 2015-9-1 07:45 3 楼 0 好东西啊，X64的 object钩子
啤酒肚雪币： 97 活跃值： (141) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 152 粉丝 0 关注私信	啤酒肚 2015-9-1 08:30 4 楼 0 你对PG理解，太少了。不是简单的改函数，改参数就ok的。你这个是可以运行了，但是过半个小时就会蓝屏。
木瓜枫叶雪币： 459 活跃值： (334) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 526 粉丝 5 关注私信	木瓜枫叶 2 2015-9-1 08:58 5 楼 0 是啊，PG 还是会检测到的，老师，pass pg 不现实啊，客户知道的话不会同意的，有啥好办法没还有，win64 下有没有好的隐藏dll 的办法呢，求老师指教
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 357 粉丝 1 关注私信	影子不寂寞 2015-9-1 09:26 6 楼 0 楼主辛苦了，那么晚还在发技术帖。
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 141 回帖 1141 粉丝 40 关注私信	viphack 4 2015-9-1 11:03 7 楼 0 10个参数才对
z许雪币： 1905 活跃值： (1427) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 268 粉丝 4 关注私信	z许 2015-9-1 14:10 8 楼 0 你这个。要是打开权限之类的话，为嘛要用obj hook，直接用obj回调哇。 ObRegisterCallbacks http://bbs.pediy.com/showthread.php?t=168023
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 2015-9-1 20:38 9 楼 0 我测试没蓝
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 2015-9-1 20:40 10 楼 0 貌似对openProcess的处理不太好..
啤酒肚雪币： 97 活跃值： (141) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 152 粉丝 0 关注私信	啤酒肚 2015-9-2 06:27 11 楼 0 如果这条路能走通，x64早就大批hook出现了。
KiDebug 雪币： 536 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 24 回帖 285 粉丝 6 关注私信	KiDebug 4 2015-9-2 21:32 12 楼 0 win7 x64 objecthook 不会蓝屏。从win8开始会，所以还是ObRegisterCallbacks吧
xmlpull 雪币： 99 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	xmlpull 2015-9-3 12:56 13 楼 0 学习了。
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 91 粉丝 3 关注私信	老坛酸菜TM 2018-7-17 16:18 14 楼 0 不是有现成的ObRegisterCallbacks吗，你还这么折腾干什么！ NTSTATUS ObProtectProcess(BOOLEAN Enable) { PAGED_CODE(); if (Enable == TRUE) { NTSTATUS obst1 = 0, obst2 = 0; OB_CALLBACK_REGISTRATION obReg, obReg2; OB_OPERATION_REGISTRATION opReg, opReg2; //reg ob callback 1 memset(&obReg, 0, sizeof(obReg)); obReg.Version = ObGetFilterVersion(); obReg.OperationRegistrationCount = 1; obReg.RegistrationContext = NULL; RtlInitUnicodeString(&obReg.Altitude, L"321124"); obReg.OperationRegistration = &opReg; memset(&opReg, 0, sizeof(opReg)); opReg.ObjectType = PsProcessType; opReg.Operations = OB_OPERATION_HANDLE_CREATE \| OB_OPERATION_HANDLE_DUPLICATE; opReg.PreOperation = (POB_PRE_OPERATION_CALLBACK)&preCall; obst1 = ObRegisterCallbacks(&obReg, &obHandle); //reg ob callback 2 memset(&obReg2, 0, sizeof(obReg2)); obReg2.Version = ObGetFilterVersion(); obReg2.OperationRegistrationCount = 1; obReg2.RegistrationContext = NULL; RtlInitUnicodeString(&obReg2.Altitude, L"321125"); obReg2.OperationRegistration = &opReg2; memset(&opReg2, 0, sizeof(opReg2)); opReg2.ObjectType = PsThreadType; opReg2.Operations = OB_OPERATION_HANDLE_CREATE \| OB_OPERATION_HANDLE_DUPLICATE; opReg2.PreOperation = (POB_PRE_OPERATION_CALLBACK)&preCall2; obst1 = ObRegisterCallbacks(&obReg2, &obHandle2); return NT_SUCCESS(obst1) & NT_SUCCESS(obst2); } else { if (obHandle != NULL) ObUnRegisterCallbacks(obHandle); if (obHandle2 != NULL) ObUnRegisterCallbacks(obHandle2); return TRUE; } }
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

kz丶cn

发帖

回帖

RANK

关注

私信

他的文章

[分享]已删除

[求助]只要是EtwRegistration类型的句柄都复制失败

[原创]_HANDER_TABLE之我见

[求助]通过EPROCESS下的ObjectTable下的TableCode获取进程全部句柄名字问题

[求助]应用层向WFP添加过滤条件...

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 2015-9-1 04:12 2 楼 0 代码写的不好,只是测试用的...
GeekCheng 雪币： 20 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 152 粉丝 13 关注私信	GeekCheng 2 2015-9-1 07:45 3 楼 0 好东西啊，X64的 object钩子
啤酒肚雪币： 97 活跃值： (141) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 152 粉丝 0 关注私信	啤酒肚 2015-9-1 08:30 4 楼 0 你对PG理解，太少了。不是简单的改函数，改参数就ok的。你这个是可以运行了，但是过半个小时就会蓝屏。
木瓜枫叶雪币： 459 活跃值： (334) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 526 粉丝 5 关注私信	木瓜枫叶 2 2015-9-1 08:58 5 楼 0 是啊，PG 还是会检测到的，老师，pass pg 不现实啊，客户知道的话不会同意的，有啥好办法没还有，win64 下有没有好的隐藏dll 的办法呢，求老师指教
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 357 粉丝 1 关注私信	影子不寂寞 2015-9-1 09:26 6 楼 0 楼主辛苦了，那么晚还在发技术帖。
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 141 回帖 1141 粉丝 40 关注私信	viphack 4 2015-9-1 11:03 7 楼 0 10个参数才对
z许雪币： 1905 活跃值： (1427) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 268 粉丝 4 关注私信	z许 2015-9-1 14:10 8 楼 0 你这个。要是打开权限之类的话，为嘛要用obj hook，直接用obj回调哇。 ObRegisterCallbacks http://bbs.pediy.com/showthread.php?t=168023
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 2015-9-1 20:38 9 楼 0 我测试没蓝
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 2015-9-1 20:40 10 楼 0 貌似对openProcess的处理不太好..
啤酒肚雪币： 97 活跃值： (141) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 152 粉丝 0 关注私信	啤酒肚 2015-9-2 06:27 11 楼 0 如果这条路能走通，x64早就大批hook出现了。
KiDebug 雪币： 536 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 24 回帖 285 粉丝 6 关注私信	KiDebug 4 2015-9-2 21:32 12 楼 0 win7 x64 objecthook 不会蓝屏。从win8开始会，所以还是ObRegisterCallbacks吧
xmlpull 雪币： 99 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	xmlpull 2015-9-3 12:56 13 楼 0 学习了。
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 91 粉丝 3 关注私信	老坛酸菜TM 2018-7-17 16:18 14 楼 0 不是有现成的ObRegisterCallbacks吗，你还这么折腾干什么！ NTSTATUS ObProtectProcess(BOOLEAN Enable) { PAGED_CODE(); if (Enable == TRUE) { NTSTATUS obst1 = 0, obst2 = 0; OB_CALLBACK_REGISTRATION obReg, obReg2; OB_OPERATION_REGISTRATION opReg, opReg2; //reg ob callback 1 memset(&obReg, 0, sizeof(obReg)); obReg.Version = ObGetFilterVersion(); obReg.OperationRegistrationCount = 1; obReg.RegistrationContext = NULL; RtlInitUnicodeString(&obReg.Altitude, L"321124"); obReg.OperationRegistration = &opReg; memset(&opReg, 0, sizeof(opReg)); opReg.ObjectType = PsProcessType; opReg.Operations = OB_OPERATION_HANDLE_CREATE \| OB_OPERATION_HANDLE_DUPLICATE; opReg.PreOperation = (POB_PRE_OPERATION_CALLBACK)&preCall; obst1 = ObRegisterCallbacks(&obReg, &obHandle); //reg ob callback 2 memset(&obReg2, 0, sizeof(obReg2)); obReg2.Version = ObGetFilterVersion(); obReg2.OperationRegistrationCount = 1; obReg2.RegistrationContext = NULL; RtlInitUnicodeString(&obReg2.Altitude, L"321125"); obReg2.OperationRegistration = &opReg2; memset(&opReg2, 0, sizeof(opReg2)); opReg2.ObjectType = PsThreadType; opReg2.Operations = OB_OPERATION_HANDLE_CREATE \| OB_OPERATION_HANDLE_DUPLICATE; opReg2.PreOperation = (POB_PRE_OPERATION_CALLBACK)&preCall2; obst1 = ObRegisterCallbacks(&obReg2, &obHandle2); return NT_SUCCESS(obst1) & NT_SUCCESS(obst2); } else { if (obHandle != NULL) ObUnRegisterCallbacks(obHandle); if (obHandle2 != NULL) ObUnRegisterCallbacks(obHandle2); return TRUE; } }
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复