暴力搜索内存进程对象反隐藏进程这篇文章中,我们提到:

Object Header偏移0×008处Type成员为对象类型值,相同类型的对象具有相同的值.  自Window  7开始, _OBJECT_HEADER及其之前的一些结构发生了变化.

lkd> dt _object_header

nt!_OBJECT_HEADER

+0×000 PointerCount      : Int4B

+0×004 HandleCount       :Int4B

+0×004 NextToFree        : Ptr32 Void

+0×008 Lock             : _EX_PUSH_LOCK

+0x00c TypeIndex          : UChar

……

可以看到, 0×008处的指向_OBJECT_TYPE的指针已经没有了,  取而代之的是在0x00c 处的类型索引值. 但Windows7中添加了一个函数ObGetObjectType, 返回Object_type对象指针.

看过黑月教主文章也大概知道是怎么回事了,这里我再来扯一扯。。。

首先我们来对ObGetObjectType进行反汇编:

把参数object的地址赋给eax。

82a8f3fb 8b4508          mov     eax,dword ptr [ebp+8]

获取TypeIndex的值,解释一下为什么是减去0Ch。正常的计算应该是:

object地址-Object_header的大小+TypeIndex的偏移,所以有:

eax-0x18h+0x0Ch 即为 eax – 0x0Ch

82a8f3fe 0fb640f4        movzx   eax,byte ptr [eax-0Ch]

根据索引值在ObTypeIndexTable数组中找到对应的ObjectType。

82a8f402 8b0485c0b89882  mov     eax,dword ptr nt!ObTypeIndexTable (8298b8c0)[eax*4]

验证下ObTypeIndexTable 是不是一个数组。

我们随便找个进程,然后查看它的TypeIndex,发现是0x7h,那来看看索引为7的ObjectType对象是不是进程的ObjectType。

事实证明确实是的。

在ObInitSystem函数中,可以找到创建对象类型的函数:

不论哪个系统,创建的第一个对象类型就是“对象类型”。听起来确实比较别扭,它的名字是ObpTypeObjectType,正如设备对象的类型叫做IoDeviceObjectType一样。不过不同的是,Win7中ObpTypeObjectType对应的Index是2,而在此以前的系统中,该类型对应的Index总是1.

在ObCreateObjectTypeEx中申请该Index时有如下代码:
BYTE newIndex;
NTSTATUS status;
if ( theObjectType ==   ObpTypeObjectType )
{
     newIndex = 2;
}
else
{
     status = ObpAllocateTypeIndex(&newIndex);
    //省略…
}
可以看到,系统对ObpTypeObjectType有特殊处理,当创建该对象类型时,指定了其TypeIndex为2。否则就调用ObpAllocateTypeIndex申请一个有效的索引。
ObpAllocateTypeIndex实际上是从ObTypeIndexTable[2]这个位置(也就是存放ObpTypeObjectType的位置)开始,依次判断内容是否为0,若不为0,则继续判断下一个。若为0,表明这个Index所在的位置尚未被人使用,就返回这个Index就可以了。(引用自黑月教主)

反汇编也可以看到。

在ObTypeIndexTable 中来查看,地址为84133c98 。

可以看到TotalNumberOfObjects为0x2a,即42,和dd ObTypeIndexTable 看到的结果是一样的。

同以前的系统一样在,_OBJECT_TYPE->TotalNumberOfObjects指明了某种类型的对象共有多少个,而ObpTypeObjectType作为对象类型的类型,它的TotalNumberOfObjects实际上便是系统中所有ObjectType的个数。要想获取所有的ObjectType,你可以简单地直接遍历这个表来实现。至于表的地址,可以反汇编导出函数ObGetObjectType来得到,有过从PsLookupProcessByProcessId中取PspCidTable地址经历的人搞这个会很容易。由于ObpTypeObjectType的索引固定为2,所以可以使用_ObTypeIndexTable[2]->TotalNumberOfObjects获取到所有对象类型的个数,然后遍历即可。或者,使用TypeIndex从2开始一直遍历到ObTypeIndexTable[TypeIndex]为零止。

本文链接:http://www.blogfshare.com/win7-obtypeindextable.html

 jpg 改 rar

Win7 Object_Header之TypeIndex解析的更多相关文章

  1. 【旧文章搬运】Win7 OBJECT_HEADER之TypeIndex解析

    原文发表于百度空间,2010-08-09========================================================================== 在Wind ...

  2. 一个简单的Object Hook的例子(win7 32bit)

    Object Hook简单的来说就是Hook对象,这里拿看雪上的一个例子,因为是在win7 32位上的,有些地方做了些修改. _OBJECT_HEADER: kd> dt _OBJECT_HEA ...

  3. 驱动保护中的ObjectType_Callback探索

    最近学习驱动保护,有点小小心德与大家分享下. 当前环境:VM中的win7 32 保护程序是某游戏的驱动保护. 具体现象是:在用PCHunter工具查看object钩子时发现如下的信息: 疑问点1:在H ...

  4. Android逆向之旅---解析编译之后的Dex文件格式

    一.前言 新的一年又开始了,大家是否还记得去年年末的时候,我们还有一件事没有做,那就是解析Android中编译之后的classes.dex文件格式,我们在去年的时候已经介绍了: 如何解析编译之后的xm ...

  5. Win7 _Object_header 中的 TypeIndex

    Win7 比较 xp下ObjectHeader中的内容有所变化,xp直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而Win7中把所有的对象类型放在了一个表里,这个表叫做ObTy ...

  6. 【旧文章搬运】Win7可变对象头结构之InfoMask解析

    原文发表于百度空间,2010-08-11========================================================================== 对Wind ...

  7. win7 64位系统 pl/sql 无法解析指定的连接标识符解决办法

    我用的是win764位,装好后,装了pl/sql 和toad,都连不上数据库,报错位“无法解析指定的连接标识符” 解决办法,经过研究发现安装目录有问题.默认会安装在“C:\Program Files ...

  8. win7下PLSQL Developer提示“ORA-12154: TNS:无法解析指定的连接标识符”

    解决方法:卸载掉重新安装,注意安装的目录的文件夹不要有特殊的符号,例如64位系统的的安装目录会到Program Files (x86),这时候就会出现"ORA-12154: TNS:无法解析 ...

  9. win7 64位 VS2010调试提示“ORA-12154: TNS: 无法解析指定的连接标识符”的解决方法

    如果使用工具可以连接Oralce说明与Oralce安装无法. 解决方法: 解决步骤: 1.去网上下载"instantclient-basic-win32-11.2.0.1.0.zip&quo ...

随机推荐

  1. Window 下 Qt5 使用QMediaplayer 进行视频播放 流播放问题

    int main(int argc, char *argv[]) { QApplication a(argc, argv); QWidget *widget = new QWidget; widget ...

  2. Appium 客户端库 API

    ## Appium 客户端库 Appium 有对应以下语言的客户端库: 语言 | 代码 :--|--:[Ruby][rubygems] | [GitHub](https://github.com/ap ...

  3. sizeof进行结构体大小的判断

    typedef struct{    int a;    char b;}A_t;typedef struct{    int a;    char b;    char c;}B_t;typedef ...

  4. Java对象排序

    java实现对象比较,可以实现java.lang.Comparable或java.util.Comparator接口 //Product.java import java.util.Date; //p ...

  5. MySQL中无GROUP BY直接HAVING的问题【转】

    本文来自网址: http://www.penglixun.com/tech/database/having_without_groupby_in_mysql.html 今天有同学给我反应,有一张表,i ...

  6. iOS AES加密解密实现方法

    使用方法 先导入头文件 #import "NSData+AES.h" //AES测试 //用来密钥 NSString *key = "; //用来发送的原始数据 NSSt ...

  7. odoo注销后在登录时的用户名和密码

    初识odoo时会遇到注销后无法登陆的情况,一般原因是没有留意管理员邮件地址和对应的密码所致.初始情况下默认的邮件地址为admin,密码为数据库创建时提供的密码.

  8. IOS searchBar去掉背景

    修改UISearchBar的背景颜色 UISearchBar是由两个subView组成的,一个是UISearchBarBackGround,另一个是UITextField. 要IB中没有直接操作背景的 ...

  9. swift选择类或结构体

    按照通用的准则,当符合一条或多条以下条件时,请考虑构建结构体: 结构体的主要目的是用来封装少量相关简单数据值. 有理由预计一个结构体实例在赋值或传递时,封装的数据将会被拷贝而不是被引用. ? 任何在结 ...

  10. Vi文档

    Vi简介 Vi是一种广泛存在于各种UNIX和Linux系统中的文本编辑程序. Vi不是排版程序,只是一个纯粹的文本编辑程序. Vi是全屏幕文本编辑器,它没有菜单,只有命令. Vi不是基于窗口的,所以, ...