[讨论]驱动,如何保护窗口信息不被其他进程访问和修改-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]驱动,如何保护窗口信息不被其他进程访问和修改

发表于: 2007-11-16 17:46 14100

[讨论]驱动,如何保护窗口信息不被其他进程访问和修改

kevinqing

2007-11-16 17:46

14100

跟踪GetWindowText
流程:
首先大概是一个seh设置函数
然后检查参数,并填充0
然后进入一个窗口查询函数,内部调用systemcall 1248(据估计是查询窗口能否能被访问)
根据call返回值返回失败或继续.
再根据HWND算出一个偏移值,指向窗口结构调用call 11e3(这个call不知道干什么的,好像没做什么事情)
最后是在结构中计算出TEXT偏移,然后unicode转换copy等等

目前问题是
1248和11e3据查资料的情况来看,应该是属于KeServieDescriptorTableShadow里面的
不知道如何得到该表进行hook
另外就是哪里可以找到win32k.sys内部函数的资料

[课程]Linux pwn 探索篇！

收藏・3

免费・0

支持

最新回复 (23)
kevinqing 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	kevinqing 2 楼没人研究自己来 0x1248->0x248->584 NtUserValidateHandleSecure 0x11e3->0x1e3->483 NtUserQueryWindow 下面是usermode抓的service call 可能不完整 GetWindowTextA=>Call service 00001248 =>Call service 000011E3 =>End GetWindowTextW=>Call service 00001248 =>Call service 000011E3 =>End 2007-11-17 12:49 0
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 5 关注私信	dummy 23 3 楼创建自己的类窗口（主要针对系统的“优化”措施，比如 GetWindowText 跨进程调用，对于系统控件不会导致 WM_GETEXT 的消息的产生），然后在消息处理中，验证消息的发送者。 2007-11-17 13:33 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 4 楼啊这个外包在好多地方看过呵呵比如下面 http://topic.csdn.net/u/20071030/12/6835ebe1-6ec9-4c4e-825f-f8c1d66ba952.html 2007-11-17 15:13 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 5 楼等着蓝屏吧。有几款杀毒也HOOK了这些函数 2007-11-17 17:31 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 6 楼打算做反WG吧 2007-11-17 18:11 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 7 楼 NtUserBuildHwndList NtUserWindowFromPoint NtUserGetForegroundWindow 不过spy++用GetWindow还能找到,再深挖一下只要你能做到不让别的程序得到hwnd大概就差不多了 2007-11-17 18:37 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 8 楼 kevinqing,softworm你们两想到好方法了吗？ NtUserBuildHwndList（只能防掉EnumWindow） NtUserWindowFromPoint NtUserGetForegroundWindow softworm你hook后面两个函数是为了什么？ GetWindow和FindWindowEx都难防，不知道在ring0层是调用哪些函数。 2007-12-26 19:45 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 9 楼好象还有个NtUserFindWindowEx 后2个防这个: HWND WindowFromPoint( POINT Point // structure with point ); HWND GetForegroundWindow(VOID)' DWORD GetWindowThreadProcessId( HWND hWnd, // handle to window LPDWORD lpdwProcessId // address of variable for process identifier ); 2007-12-26 21:57 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 10 楼我的OD的确要和KAV打架,我也不清楚什么时候开始的,在办公室的机器上写的,没装AV,估计不是SSDT,Hook中断造成的可能性更大 2007-12-26 21:59 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 11 楼 NtUserFindWindowEx我刚刚写发现了这个，都郁闷我半天 WindowFromPoint GetForegroundWindow GetWindowThreadProcessId 总感觉跟getwindow没什么关系，你是反调试出来的？ 2007-12-26 22:24 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 12 楼装什么kav哦。NtUserFindWindowEx这个我也发现了。 WindowFromPoint GetForegroundWindow GetWindowThreadProcessId 这个三个函数跟getwindow好象都没瓜葛。。。3个函数都要跟？ 2007-12-26 22:27 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 13 楼我先拦下来试试。 GetWindowThreadProcessId但这个shodaw下是哪个函数 2007-12-26 22:44 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 14 楼 softworm,还是防不了getwindow，我跟踪下去也是跟楼主分析的一样getwindow调用了shadow里的NtUserValidateHandleSecure，但只不知道参数很难过滤。还有更奇怪的是我有一台电脑调用getwindow却不调用这个NtUserValidateHandleSecure函数。。头到了，睡觉 2007-12-27 03:51 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 15 楼 GetWindow我也不明白,你要是搞定了告诉我一下 2007-12-27 18:12 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 16 楼 GetWindow 不走寻常路~ 没有碰内核~~搞起来很麻烦~ 2007-12-29 19:50 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 17 楼楼上的，GetWindow 没有碰内核？ 2007-12-31 22:48 0
kevinqing 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	kevinqing 18 楼是有些函数都没掉内核- - 主要是A版的直接遍历内存结构得到的 2008-1-3 14:55 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 19 楼我已经找到方法，先测试测试 2008-1-3 19:46 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 20 楼 GetWindow -> InternalGetWindowText -> NtUserInternalGetWindowText -> _InternalGetWindowText 搞出来了代码分享下：） 2008-2-22 15:20 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 21 楼 2008-2-22 15:24 0
堆雪蚂蚁雪币： 78 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	堆雪蚂蚁 22 楼貌似进错了以为是讨论PG软件呢 2008-2-23 22:18 0
jupiter陆雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	jupiter陆 23 楼帮楼主顶一个我也想知道如何hook NtUserBuildHwndList 2008-5-17 10:58 0
HereInSide 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	HereInSide 24 楼 NtUserValidateHandleSecure 这个不错 2008-5-17 12:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kevinqing

发帖

回帖

RANK

关注

私信

他的文章

[讨论]驱动,如何保护窗口信息不被其他进程访问和修改 14101

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
kevinqing 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	kevinqing 2 楼没人研究自己来 0x1248->0x248->584 NtUserValidateHandleSecure 0x11e3->0x1e3->483 NtUserQueryWindow 下面是usermode抓的service call 可能不完整 GetWindowTextA=>Call service 00001248 =>Call service 000011E3 =>End GetWindowTextW=>Call service 00001248 =>Call service 000011E3 =>End 2007-11-17 12:49 0
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 5 关注私信	dummy 23 3 楼创建自己的类窗口（主要针对系统的“优化”措施，比如 GetWindowText 跨进程调用，对于系统控件不会导致 WM_GETEXT 的消息的产生），然后在消息处理中，验证消息的发送者。 2007-11-17 13:33 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 4 楼啊这个外包在好多地方看过呵呵比如下面 http://topic.csdn.net/u/20071030/12/6835ebe1-6ec9-4c4e-825f-f8c1d66ba952.html 2007-11-17 15:13 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 5 楼等着蓝屏吧。有几款杀毒也HOOK了这些函数 2007-11-17 17:31 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 6 楼打算做反WG吧 2007-11-17 18:11 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 7 楼 NtUserBuildHwndList NtUserWindowFromPoint NtUserGetForegroundWindow 不过spy++用GetWindow还能找到,再深挖一下只要你能做到不让别的程序得到hwnd大概就差不多了 2007-11-17 18:37 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 8 楼 kevinqing,softworm你们两想到好方法了吗？ NtUserBuildHwndList（只能防掉EnumWindow） NtUserWindowFromPoint NtUserGetForegroundWindow softworm你hook后面两个函数是为了什么？ GetWindow和FindWindowEx都难防，不知道在ring0层是调用哪些函数。 2007-12-26 19:45 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 9 楼好象还有个NtUserFindWindowEx 后2个防这个: HWND WindowFromPoint( POINT Point // structure with point ); HWND GetForegroundWindow(VOID)' DWORD GetWindowThreadProcessId( HWND hWnd, // handle to window LPDWORD lpdwProcessId // address of variable for process identifier ); 2007-12-26 21:57 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 10 楼我的OD的确要和KAV打架,我也不清楚什么时候开始的,在办公室的机器上写的,没装AV,估计不是SSDT,Hook中断造成的可能性更大 2007-12-26 21:59 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 11 楼 NtUserFindWindowEx我刚刚写发现了这个，都郁闷我半天 WindowFromPoint GetForegroundWindow GetWindowThreadProcessId 总感觉跟getwindow没什么关系，你是反调试出来的？ 2007-12-26 22:24 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 12 楼装什么kav哦。NtUserFindWindowEx这个我也发现了。 WindowFromPoint GetForegroundWindow GetWindowThreadProcessId 这个三个函数跟getwindow好象都没瓜葛。。。3个函数都要跟？ 2007-12-26 22:27 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 13 楼我先拦下来试试。 GetWindowThreadProcessId但这个shodaw下是哪个函数 2007-12-26 22:44 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 14 楼 softworm,还是防不了getwindow，我跟踪下去也是跟楼主分析的一样getwindow调用了shadow里的NtUserValidateHandleSecure，但只不知道参数很难过滤。还有更奇怪的是我有一台电脑调用getwindow却不调用这个NtUserValidateHandleSecure函数。。头到了，睡觉 2007-12-27 03:51 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 15 楼 GetWindow我也不明白,你要是搞定了告诉我一下 2007-12-27 18:12 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 16 楼 GetWindow 不走寻常路~ 没有碰内核~~搞起来很麻烦~ 2007-12-29 19:50 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 17 楼楼上的，GetWindow 没有碰内核？ 2007-12-31 22:48 0
kevinqing 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	kevinqing 18 楼是有些函数都没掉内核- - 主要是A版的直接遍历内存结构得到的 2008-1-3 14:55 0
vctopsky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vctopsky 19 楼我已经找到方法，先测试测试 2008-1-3 19:46 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 20 楼 GetWindow -> InternalGetWindowText -> NtUserInternalGetWindowText -> _InternalGetWindowText 搞出来了代码分享下：） 2008-2-22 15:20 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 21 楼 2008-2-22 15:24 0
堆雪蚂蚁雪币： 78 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	堆雪蚂蚁 22 楼貌似进错了以为是讨论PG软件呢 2008-2-23 22:18 0
jupiter陆雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	jupiter陆 23 楼帮楼主顶一个我也想知道如何hook NtUserBuildHwndList 2008-5-17 10:58 0
HereInSide 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	HereInSide 24 楼 NtUserValidateHandleSecure 这个不错 2008-5-17 12:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复