首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]扩充_ETHREAD结构
发表于: 2018-9-2 17:09 20107

[原创]扩充_ETHREAD结构

xiaofu 活跃值
8
2018-9-2 17:09
20107

应该过段时间就忘了,发个帖记录一下


在某些场景下,我想要系统的某些结构跟我自己的数据进行绑定。如map<EPROCESS process,uint64_t DebugPort>。但是在某些情况下map+lock并不适用。我希望扩充系统的这些结构,在分配这些结构体的时候多分配一部分出来来达到绑定的目的。
翻阅一下wrk,找到相关的地方:
在某些场景下,我想要系统的某些结构跟我自己的数据进行绑定。如map<EPROCESS process,uint64_t DebugPort>。但是在某些情况下map+lock并不适用。我希望扩充系统的这些结构,在分配这些结构体的时候多分配一部分出来来达到绑定的目的。
翻阅一下wrk,找到相关的地方:
ETHREAD:

EPROCESS:

可以看到调用ObCreateObject传入对应的结构体大小,即分配了对应的内存。但是在WIN10下,这个地方有少许改变,win10下仍然有ObCreateObject,
但是成了ObCreateObjectEx的封装,系统分配结构体的地方也变成了

可以看到ObCreateObjectEx比 ObCreateObject在后面多了一个参数

多的这个参数,是在 ObCreateObjectEx调用ObpAllocateObject所使用

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (9)
kanxue
雪    币: 47147
活跃值: (20450)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
感谢分享!
2018-9-2 17:30
0
shayi
雪    币: 1604
活跃值: (640)
能力值: ( LV13,RANK:460 )
在线值:
发帖
回帖
粉丝
私信
3
好技术帖必须顶
最后于 2018-9-2 19:56 被shayi编辑 ,原因:
2018-9-2 19:55
0
Aaaaaaaaq
雪    币: 3
活跃值: (59)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
思路不错,谢谢分享
2018-9-3 09:39
0
fengyunabc
雪    币: 3738
活跃值: (3872)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
因为楼主已经过了PG。
2018-9-3 09:55
0
syser
雪    币: 3574
活跃值: (4714)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
对啊 楼主 你都过PG了...
2018-9-3 18:06
0
开花的水管
雪    币: 1535
活跃值: (695)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
求大佬配色方案,这代码好看啊,用的什么编辑器?
2018-9-5 08:56
0
sqdwr
雪    币: 20
活跃值: (141)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
.....刚想问,HOOK ObCreateObjectEx不被制裁么,就看到下面说楼主过了PG
2018-9-5 09:24
0
黑洛
雪    币: 6124
活跃值: (4656)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
9
不错不错啊,很好的干货。
2018-9-7 02:23
0
ZwCopyAll
雪    币: 259
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
666
2020-6-11 15:53
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//