首页
社区
课程
招聘
放血,不触发PG的Object Protect
发表于: 2019-12-16 11:04 12495

放血,不触发PG的Object Protect

2019-12-16 11:04
12495

进程对象(EPORCESS)->PsProcessType

线程对象(PETHREAD)->PsThreadType
文件对象(FileObject)->IoFileObjectType
..........
具体流程不分析大概是这样,创建对象->Ob插入对象->系统访问(对象,这些对象是分配出来的不归PG管理)->根据对象Index->寻找对应Ob回调->........(笼统来说,不喜勿喷)

用Process在win 7 上做实验,这是win7-w10 结构对象
关注 +0x28位置,这是在寻找Object Context的依据 ,可见win7上 Object Type Index = 0x7
随便哪个进程EProcess Object - 0x18(Object Header)emmm。。自己去看资料为什么-0x18

可以看到每个EPROCESS 的对象 index = 7.好了我们知道大概的流程
1.获取对象地址 Object 
2.Object -0x18 = Object Index
3.创建内核新对象->填充原始数据->替换原始对象->获取 (新对象+0x28)Index->解锁对象(这个很重要) 
4.替换 Object-0x18 =  (新对象+0x28)
5.收工。。最终效果

接着打开PCHUNTER火绒等等

触发自己对象回调



POBJECT_TYPE_INITIALIZER ProcessType = (POBJECT_TYPE_INITIALIZER)(Object_type + 0x40);//OBJECT_TYPE_INITIALIZER 对象
	RtlZeroMemory(ObjectTypeInitializer, sizeof(OBJECT_TYPE_INITIALIZER));
	ObjectTypeInitializer->PoolType = NonPagedPool;
	ObjectTypeInitializer->InvalidAttributes = OBJ_OPENIF;
	ObjectTypeInitializer->ValidAccessMask = OBJECT_TYPE_ALL_ACCESS;
	ObjectTypeInitializer->RetainAccess = 1;
	ObjectTypeInitializer->OpenProcedure = (PVOID)NewPspProcessOpen;
	ObjectTypeInitializer->DumpProcedure = (PVOID)ProcessType->DumpProcedure;
	ObjectTypeInitializer->CloseProcedure = ProcessType->CloseProcedure;
	ObjectTypeInitializer->DeleteProcedure =  ProcessType->DeleteProcedure;
	ObjectTypeInitializer->ObjectTypeCode = 1;
	ObjectTypeInitializer->DefaultNonPagedPoolCharge = sizeof(OBJECT_TYPE_INITIALIZER);
	ObjectTypeInitializer->u.ObjectTypeFlags = 0x4a;

群:121157016 不冒泡别进来
关注 +0x28位置,这是在寻找Object Context的依据 ,可见win7上 Object Type Index = 0x7
随便哪个进程EProcess Object - 0x18(Object Header)emmm。。自己去看资料为什么-0x18

可以看到每个EPROCESS 的对象 index = 7.好了我们知道大概的流程
1.获取对象地址 Object 
2.Object -0x18 = Object Index
3.创建内核新对象->填充原始数据->替换原始对象->获取 (新对象+0x28)Index->解锁对象(这个很重要) 

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 4
支持
分享
最新回复 (20)
雪    币: 341
活跃值: (1005)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
顶。
2019-12-16 11:15
0
雪    币: 188
活跃值: (631)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
等一段时间会蓝屏
2019-12-16 12:28
0
雪    币: 219
活跃值: (783)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
4
唐某某 等一段时间会蓝屏
???你自己问题
2019-12-16 12:59
0
雪    币: 1129
活跃值: (2741)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
感谢分享
2019-12-16 14:28
0
雪    币: 1129
活跃值: (2741)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
大佬,问一下解锁对象是怎么操作
2019-12-16 14:52
0
雪    币: 5734
活跃值: (1737)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
       0   : A generic data region
       1   : Modification of a function or .pdata
       2   : A processor IDT
       3   : A processor GDT
       4   : Type 1 process list corruption
       5   : Type 2 process list corruption
       6   : Debug routine modification
       7   : Critical MSR modification
       8   : Object type
       9   : A processor IVT
       a   : Modification of a system service function
       b   : A generic session data region
       c   : Modification of a session function or .pdata
       d   : Modification of an import table
       e   : Modification of a session import table
       f   : Ps Win32 callout modification
       10  : Debug switch routine modification
       11  : IRP allocator modification
       12  : Driver call dispatcher modification
       13  : IRP completion dispatcher modification
       14  : IRP deallocator modification
       15  : A processor control register
       16  : Critical floating point control register modification
       17  : Local APIC modification
       18  : Kernel notification callout modification
       19  : Loaded module list modification
       1a  : Type 3 process list corruption
       1b  : Type 4 process list corruption
       1c  : Driver object corruption
       1d  : Executive callback object modification
       1e  : Modification of module padding
       1f  : Modification of a protected process
       20  : A generic data region
       21  : A page hash mismatch
       22  : A session page hash mismatch
       23  : Load config directory modification
       24  : Inverted function table modification
       25  : Session configuration modification
       26  : An extended processor control register
       27  : Type 1 pool corruption
       28  : Type 2 pool corruption
       29  : Type 3 pool corruption
       2a  : Type 4 pool corruption
       2b  : Modification of a function or .pdata
       2c  : Image integrity corruption
       2d  : Processor misconfiguration
       2e  : Type 5 process list corruption
       2f  : Process shadow corruption
       101 : General pool corruption
       102 : Modification of win32k.sys

看看8吧 不要骗自己了
2019-12-16 18:02
0
雪    币: 35
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
下个月的第二个星期二见
2019-12-16 20:06
0
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
9
2016年就试过了,稳定性很差,动不动炸进程或者蓝屏
最后于 2019-12-17 09:19 被hzqst编辑 ,原因:
2019-12-17 09:19
0
雪    币: 83
活跃值: (1087)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
10
老v 2013年培训就讲过了 FuckObject 呵呵 不过感谢分享
2019-12-17 11:51
0
雪    币: 6124
活跃值: (4656)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
11
还行,不过确实会蓝。
2019-12-18 03:21
0
雪    币: 206
活跃值: (1986)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
最高效的应该是这种办法,但是最不稳定的也是这种办法.
2019-12-18 10:30
0
雪    币: 441
活跃值: (1045)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
13
nt!_OBJECT_HEADER
   +0x000 PointerCount     : Int8B
   +0x008 HandleCount      : Int8B
   +0x008 NextToFree       : Ptr64 Void
   +0x010 Lock             : _EX_PUSH_LOCK
   +0x018 TypeIndex        : UChar
   +0x019 TraceFlags       : UChar
   +0x01a InfoMask         : UChar
   +0x01b Flags            : UChar
   +0x020 ObjectCreateInfo : Ptr64 _OBJECT_CREATE_INFORMATION
   +0x020 QuotaBlockCharged : Ptr64 Void
   +0x028 SecurityDescriptor : Ptr64 Void
   +0x030 Body             : _QUAD

-0x18 就是 TypeIndex   ,这还卖关子   
2019-12-18 14:12
0
雪    币: 6
活跃值: (3290)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
hzqst 2016年就试过了,稳定性很差,动不动炸进程或者蓝屏
排除PG的原因,为什么会不稳定了? 
2019-12-18 23:20
0
雪    币: 433
活跃值: (1910)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
15
咖啡_741298 排除PG的原因,为什么会不稳定了?
因为调用方太多了
2019-12-19 01:48
0
雪    币: 51
活跃值: (30)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
16
这个必须顶一下,必须加群学习一下。
2019-12-19 17:08
0
雪    币: 300
活跃值: (2462)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
mark
2019-12-19 21:52
0
雪    币: 1187
活跃值: (410)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
mark
2020-1-17 00:16
0
雪    币: 573
活跃值: (212)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
感谢 版主大人放血分享 
2020-1-18 01:52
0
雪    币: 668
活跃值: (1160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
新群多少,老群搞事被封停了哈哈哈
2020-2-13 18:34
0
雪    币: 143
活跃值: (780)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
挂不上OBJ····什么鬼
2021-4-10 10:00
0
游客
登录 | 注册 方可回帖
返回
//