驱动保护中的ObjectType_Callback探索
最近学习驱动保护,有点小当心德与你们分享下。
当前环境:VM中的win7 32 保护程序是某游戏的驱动保护。
具体现象是:在用PCHunter工具查看object钩子时发现以下的信息:
疑问点1:在HOOK列显示的是ObjectType_Callback,之前只据说过ObjectType HOOK没据说过这个呀,这个是什么呢?
疑问点2:Object类型列显示的是“Process” 查阅了《windows内核原理与实现》的55页WRK中的全局类型对象变量,发现不是系统建立的类型,难道这个对象类型是本身建立的?或者说是PCHunter大牛对这类HOOK的一种描述?
疑问点3:就是这种类型的HOOK是怎么注册的呢,又应该怎么卸载了。
带着几个疑问搜索了下ObjectType_Callback 没有发现相关信息,因此决定本身探索一下。
首先来肯定疑问点2,这个思路是:对比有HOOK和无HOOK的状况下 查看win7中的ObTypeIndexTable表,看元素是否有增长,若是是自创类型的,在这个表中,应该有增长一项。
这里顺便提一下ObTypeIndexTable表,是从WIN7(具体何时新增的我也不知道,总之XP没有)开始新增长的,存放的是对象类型,能够在windbg查看,具体信息原理能够百度搜索“Win7 OBJECT_HEADER之TypeIndex解析”获得解答。
当前有HOOK的状况下WINDBG中显示以下:
其中为了验证,取第三项86a4e7c8来看,能够发现的确是存放的对象类型,前两项是无效。
而后我重启WIN7 在没有HOOK的状况下显示如图:
能够看出数量是没有变化的,从而能够推断疑问2这个HOOK不是新增长对象类型来完成的,只是软件做者对其一种描述吧,那这个东西究竟是什么呢?
从新运行游戏之后,HOOK又出现了:
接着解决疑问1,思路是:断点其中的函数,看函数何时被调用,看看栈回溯,具体在分析下经历过的函数。
首先反汇编下这两个地址,第一个以下:
第二个函数以下:
第一个函数是空的,第二个函数有内容,断点第二个函数,而后运行,很快断下来了,查看栈回溯如图:
能够看到调用NtOpenProcess的时候就会调用到他,这正起到了保护做用,其中最接近他的ObpCallPreOperationCallbacks函数和ObpPreInterceptHandleCreate函数在WRK中都没有,只有ObpCreateHandle在WRK中能够查到,这个函数解释为:This function creates a new handle to an existing object。至关于为了引用一个对象,新建一个句柄,这个句柄就是这个对象的引用方式。至此咱们知道了,是引用一个对象的时候才会触发到这个保护函数,看来PCHunter大牛仍是很强大的,把它分到了object钩子这类里边很精确。
因为WRK(假想为XP)中没有这两个函数,因此为了弄清楚何时调用的他必需要反汇编以上两个函数,因为才入此道功力尚浅用WINDBG看着费力,因此改成IDA反汇编看,IDA打开内核文件ntkrnlpa.exe 在左侧列表中搜索ObpPreInterceptHandleCreate函数反汇编如图:
引入眼帘的就是对象类型表ObTypeIndexTable,想象一下对象类型的HOOK,看来仍是还对象类型有关。再往下看记录找到调用ObpCallPreOperationCallbacks函数的地方
能够看到在开头不远处,发现这个函数代码量也很小,继续跟进这个函数,定位CALL相关的代码,寻找保护函数调用点,一直往下都是系统调用直到这里:
在WINDBG中栈回溯显示的是
9d158758 840df832 xxxx!SampleDouble+0xcdf8
9d1587a0 840dfa1f nt!ObpCallPreOperationCallbacks+0x163
9d1587e8 8402dbfb nt!ObpPreInterceptHandleCreate+0x6f
对比下代码看看是否是这个地方,也能够计算下位置看看是否是这个地方,我比较懒就直接对比下吧,如图:
看来应该这就是调用点,再从CALL EAX中的EAX反推回去,看看怎么来的。经过IDA的鼠标点击变量寄存器变色能够轻松定位出如下过程EAX-》
006D581F mov eax, [edi+18h]-》
006D572C mov edi, [eax]-》
006D5729 mov eax, [ebp+var_C]-》
006D56E7 mov [ebp+var_C], eax-》
006D56DF lea eax, [edi+80h]-》
006D56DD mov edi, eax
说明在这个函数调用时 EAX就是关键所在了,分析上一个函数入调用点
经过前边的截图能够看到 EAX-》
006D5A12 mov eax, edx-》
006D59C0 mov edx, _ObTypeIndexTable[eax*4]
看来一切缘由都来自于对象类型。
006D5A12位置的EAX是一个_OBJECT_TYPE WINDBG中看看WIN7中的结构成员
能够推测006D56DF中的EAX就是一个CallbackList了,看看这个名字再看看PCHunter中的ObjectType_Callback真是彻底同样啊,回想先前也看了下_OBJECT_TYPE结构可是没注意到这个成员,想必必定是他保存了回调,这是一个双链表。如今就来看看这个对象类型里边的具体内容,想必就应该能够找到保护函数的地址了。
经过前边的分析能够知道再调用ObpCallPreOperationCallbacks函数时的EAX就是当前对象类型的地址,因此在这里设置断点,固然也有多是其它的函数调用它,虽然知道不正确可是也只有赌一把了,具体操做以下:
能够看到名称是Process这和工具里边显示的是同样,感受应该就是它了,在具体查看一下CallbackList 看看链表的内容
第一项链表头节点指向首节点a83175f8,首节点也指向首节点86ad3f30,看来只有双向链表中只有一项,查看内容发现红框处就是保护函数的地址,双链表结构也说明还能够增长其余的callback函数。
总体回顾一下 当NtOpenProcess被调用时就会调用到保护函数,这个函数是放在进程对象类型中的CallbackList中的,系统会调用它,且这个结构是双链表,还能够增长其余函数,至此疑问1基本就解决了。
接着来看疑问3,既然知道系统有这么一个机制,确定应该有相应的系统函数吧,总不可能手工来添加删除吧,既然知道了这个新成员名称就应该搜索下,看看有什么信息 GOOGLE搜索下发现有如下内容
再翻译了下大体就是说ObRegisterCallbacks函数来注册的回调,MSDN搜索发现有这样的解释:The ObRegisterCallbacks routine registers a list of callback routines for thread and process handle operations.
这和咱们遇到的状况同样,看来保护函数就是用这个函数来添加的了,怎么卸载呢?看看MSDN的左侧栏
发现一个对应的UN函数 点击查看解释:The ObUnRegisterCallbacks routine unregisters a set of callback routines that were registered with the ObRegisterCallbacks routine.
看来就是它了,两个函数的参数和进程建立卸载的系统回调差很少,具体能够参考《教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护》http://bbs.pediy.com/showthread.php?t=168023
到此这几个疑问就解决了,至于后边的是删除仍是修改保护函数就看到本身的想法了。
当前环境:VM中的win7 32 保护程序是某游戏的驱动保护。
具体现象是:在用PCHunter工具查看object钩子时发现以下的信息:
疑问点1:在HOOK列显示的是ObjectType_Callback,之前只据说过ObjectType HOOK没据说过这个呀,这个是什么呢?
疑问点2:Object类型列显示的是“Process” 查阅了《windows内核原理与实现》的55页WRK中的全局类型对象变量,发现不是系统建立的类型,难道这个对象类型是本身建立的?或者说是PCHunter大牛对这类HOOK的一种描述?
疑问点3:就是这种类型的HOOK是怎么注册的呢,又应该怎么卸载了。
带着几个疑问搜索了下ObjectType_Callback 没有发现相关信息,因此决定本身探索一下。
首先来肯定疑问点2,这个思路是:对比有HOOK和无HOOK的状况下 查看win7中的ObTypeIndexTable表,看元素是否有增长,若是是自创类型的,在这个表中,应该有增长一项。
这里顺便提一下ObTypeIndexTable表,是从WIN7(具体何时新增的我也不知道,总之XP没有)开始新增长的,存放的是对象类型,能够在windbg查看,具体信息原理能够百度搜索“Win7 OBJECT_HEADER之TypeIndex解析”获得解答。
当前有HOOK的状况下WINDBG中显示以下:
其中为了验证,取第三项86a4e7c8来看,能够发现的确是存放的对象类型,前两项是无效。
而后我重启WIN7 在没有HOOK的状况下显示如图:
能够看出数量是没有变化的,从而能够推断疑问2这个HOOK不是新增长对象类型来完成的,只是软件做者对其一种描述吧,那这个东西究竟是什么呢?
从新运行游戏之后,HOOK又出现了:
接着解决疑问1,思路是:断点其中的函数,看函数何时被调用,看看栈回溯,具体在分析下经历过的函数。
首先反汇编下这两个地址,第一个以下:
第二个函数以下:
第一个函数是空的,第二个函数有内容,断点第二个函数,而后运行,很快断下来了,查看栈回溯如图:
能够看到调用NtOpenProcess的时候就会调用到他,这正起到了保护做用,其中最接近他的ObpCallPreOperationCallbacks函数和ObpPreInterceptHandleCreate函数在WRK中都没有,只有ObpCreateHandle在WRK中能够查到,这个函数解释为:This function creates a new handle to an existing object。至关于为了引用一个对象,新建一个句柄,这个句柄就是这个对象的引用方式。至此咱们知道了,是引用一个对象的时候才会触发到这个保护函数,看来PCHunter大牛仍是很强大的,把它分到了object钩子这类里边很精确。
因为WRK(假想为XP)中没有这两个函数,因此为了弄清楚何时调用的他必需要反汇编以上两个函数,因为才入此道功力尚浅用WINDBG看着费力,因此改成IDA反汇编看,IDA打开内核文件ntkrnlpa.exe 在左侧列表中搜索ObpPreInterceptHandleCreate函数反汇编如图:
引入眼帘的就是对象类型表ObTypeIndexTable,想象一下对象类型的HOOK,看来仍是还对象类型有关。再往下看记录找到调用ObpCallPreOperationCallbacks函数的地方
能够看到在开头不远处,发现这个函数代码量也很小,继续跟进这个函数,定位CALL相关的代码,寻找保护函数调用点,一直往下都是系统调用直到这里:
在WINDBG中栈回溯显示的是
9d158758 840df832 xxxx!SampleDouble+0xcdf8
9d1587a0 840dfa1f nt!ObpCallPreOperationCallbacks+0x163
9d1587e8 8402dbfb nt!ObpPreInterceptHandleCreate+0x6f
对比下代码看看是否是这个地方,也能够计算下位置看看是否是这个地方,我比较懒就直接对比下吧,如图:
看来应该这就是调用点,再从CALL EAX中的EAX反推回去,看看怎么来的。经过IDA的鼠标点击变量寄存器变色能够轻松定位出如下过程EAX-》
006D581F mov eax, [edi+18h]-》
006D572C mov edi, [eax]-》
006D5729 mov eax, [ebp+var_C]-》
006D56E7 mov [ebp+var_C], eax-》
006D56DF lea eax, [edi+80h]-》
006D56DD mov edi, eax
说明在这个函数调用时 EAX就是关键所在了,分析上一个函数入调用点
经过前边的截图能够看到 EAX-》
006D5A12 mov eax, edx-》
006D59C0 mov edx, _ObTypeIndexTable[eax*4]
看来一切缘由都来自于对象类型。
006D5A12位置的EAX是一个_OBJECT_TYPE WINDBG中看看WIN7中的结构成员
能够推测006D56DF中的EAX就是一个CallbackList了,看看这个名字再看看PCHunter中的ObjectType_Callback真是彻底同样啊,回想先前也看了下_OBJECT_TYPE结构可是没注意到这个成员,想必必定是他保存了回调,这是一个双链表。如今就来看看这个对象类型里边的具体内容,想必就应该能够找到保护函数的地址了。
经过前边的分析能够知道再调用ObpCallPreOperationCallbacks函数时的EAX就是当前对象类型的地址,因此在这里设置断点,固然也有多是其它的函数调用它,虽然知道不正确可是也只有赌一把了,具体操做以下:
能够看到名称是Process这和工具里边显示的是同样,感受应该就是它了,在具体查看一下CallbackList 看看链表的内容
第一项链表头节点指向首节点a83175f8,首节点也指向首节点86ad3f30,看来只有双向链表中只有一项,查看内容发现红框处就是保护函数的地址,双链表结构也说明还能够增长其余的callback函数。
总体回顾一下 当NtOpenProcess被调用时就会调用到保护函数,这个函数是放在进程对象类型中的CallbackList中的,系统会调用它,且这个结构是双链表,还能够增长其余函数,至此疑问1基本就解决了。
接着来看疑问3,既然知道系统有这么一个机制,确定应该有相应的系统函数吧,总不可能手工来添加删除吧,既然知道了这个新成员名称就应该搜索下,看看有什么信息 GOOGLE搜索下发现有如下内容
再翻译了下大体就是说ObRegisterCallbacks函数来注册的回调,MSDN搜索发现有这样的解释:The ObRegisterCallbacks routine registers a list of callback routines for thread and process handle operations.
这和咱们遇到的状况同样,看来保护函数就是用这个函数来添加的了,怎么卸载呢?看看MSDN的左侧栏
发现一个对应的UN函数 点击查看解释:The ObUnRegisterCallbacks routine unregisters a set of callback routines that were registered with the ObRegisterCallbacks routine.
看来就是它了,两个函数的参数和进程建立卸载的系统回调差很少,具体能够参考《教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护》http://bbs.pediy.com/showthread.php?t=168023
到此这几个疑问就解决了,至于后边的是删除仍是修改保护函数就看到本身的想法了。
jpg 转 rar php
相关文章
- 1. 驱动保护中的ObjectType_Callback探索
- 2. 说说某游戏保护驱动中驱动黑名单的具体实现
- 3. 过 DNF TP 驱动保护(一)
- 4. 过 DNF TP 驱动保护(二)
- 5. 事件驱动机制探索
- 6. 过TP保护与解除游戏驱动保护(能够借鉴)
- 7. 简单实用的带引脚保护的RS232驱动电路
- 8. 保护模式汇编系列之一 - 初探保护模式
- 9. 互联网公司数据安全保护新探索
- 10. 以变制变——前端动态化代码保护方案探索
- 更多相关文章...
- • 探索Redis事务回滚 - Redis教程
- • Spring中Bean的作用域 - Spring教程
- • C# 中 foreach 遍历的用法
- • SpringBoot中properties文件不能自动提示解决方法
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
