[原创]内核对象HOOK-编程技术-看雪-安全社区|安全招聘|kanxue.com

Papboys

2020-1-18 10:44

4987

首先我们来了解一下内核对象的基本结构，每一个内核对象都是由对象头和对象体组成，对象头都是一样的，对象体不同的内核对象是不一样的。该结构体请参考内核结构体。

获取ObTypeIndexTable首地址, 地址在ObGetObjectType函数内部中出现，因此, 取函数首地址, 加上一定偏移就能得到该表的首地址.在win7 32系统下, 该表在函数中的0xF偏移处。

测试环境：

> windows7 32位

HOOK步骤：

>找到内核对象原型数组 >遍历数组,得到指定类型的原型对象 >修改原型对象中的函数指针

首先构造进程内核对象和函数原型。这里以Hook进程内核对象的OpenProcessDure函数为例，以打开记事本展开实验。

>新建文本文档，打开

>Hook 进程内核对象

最后于 2021-1-29 09:30 被Papboys编辑，原因：

收藏・11

免费・3

支持

最新回复 (3)
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 2 楼 2020-1-18 11:12 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 3 楼 PATCHGUARD警告 2020-1-18 17:47 0
咖啡_741298 雪币： 6 活跃值： (3300) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 143 粉丝 1 关注私信	咖啡_741298 4 楼 hzqst PATCHGUARD警告看楼主代码，32的滴 2020-1-18 19:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Papboys

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 2 楼 2020-1-18 11:12 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 3 楼 PATCHGUARD警告 2020-1-18 17:47 0
咖啡_741298 雪币： 6 活跃值： (3300) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 143 粉丝 1 关注私信	咖啡_741298 4 楼 hzqst PATCHGUARD警告看楼主代码，32的滴 2020-1-18 19:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复