CTF2019_第6题 三道八佛_脱壳详解.
2019-12-17 23:02:52 Author: bbs.pediy.com(查看原文) 阅读量:169 收藏

  1. 看雪论坛
  2. 『编程技术』

放血,不触发PG的Object Protect

1天前 818

进程对象(EPORCESS)->PsProcessType

线程对象(PETHREAD)->PsThreadType

文件对象(FileObject)->IoFileObjectType

..........

具体流程不分析大概是这样,创建对象->Ob插入对象->系统访问(对象,这些对象是分配出来的不归PG管理)->根据对象Index->寻找对应Ob回调->........(笼统来说,不喜勿喷)

用Process在win 7 上做实验,这是win7-w10 结构对象

关注 +0x28位置,这是在寻找Object Context的依据 ,可见win7上 Object Type Index = 0x7

随便哪个进程EProcess Object - 0x18(Object Header)emmm。。自己去看资料为什么-0x18


可以看到每个EPROCESS 的对象 index = 7.好了我们知道大概的流程

1.获取对象地址 Object 

2.Object -0x18 = Object Index

3.创建内核新对象->填充原始数据->替换原始对象->获取 (新对象+0x28)Index->解锁对象(这个很重要) 

4.替换 Object-0x18 =  (新对象+0x28)

5.收工。。最终效果


接着打开PCHUNTER火绒等等


触发自己对象回调



POBJECT_TYPE_INITIALIZER ProcessType = (POBJECT_TYPE_INITIALIZER)(Object_type + 0x40);//OBJECT_TYPE_INITIALIZER 对象
	RtlZeroMemory(ObjectTypeInitializer, sizeof(OBJECT_TYPE_INITIALIZER));
	ObjectTypeInitializer->PoolType = NonPagedPool;
	ObjectTypeInitializer->InvalidAttributes = OBJ_OPENIF;
	ObjectTypeInitializer->ValidAccessMask = OBJECT_TYPE_ALL_ACCESS;
	ObjectTypeInitializer->RetainAccess = 1;
	ObjectTypeInitializer->OpenProcedure = (PVOID)NewPspProcessOpen;
	ObjectTypeInitializer->DumpProcedure = (PVOID)ProcessType->DumpProcedure;
	ObjectTypeInitializer->CloseProcedure = ProcessType->CloseProcedure;
	ObjectTypeInitializer->DeleteProcedure =  ProcessType->DeleteProcedure;
	ObjectTypeInitializer->ObjectTypeCode = 1;
	ObjectTypeInitializer->DefaultNonPagedPoolCharge = sizeof(OBJECT_TYPE_INITIALIZER);
	ObjectTypeInitializer->u.ObjectTypeFlags = 0x4a;

[进行中] 看雪20周年庆典报名通道开启!

最新回复 (9)

fatcateatrat 1天前

2

0

顶。

唐某某 1天前

3

0

等一段时间会蓝屏

viphack 4 1天前

4

0

唐某某 等一段时间会蓝屏

???你自己问题

Oday小斯 1天前

5

0

感谢分享

Oday小斯 1天前

6

0

大佬,问一下解锁对象是怎么操作

小艾 1 1天前

7

0

       0   : A generic data region
       1   : Modification of a function or .pdata
       2   : A processor IDT
       3   : A processor GDT
       4   : Type 1 process list corruption
       5   : Type 2 process list corruption
       6   : Debug routine modification
       7   : Critical MSR modification
       8   : Object type
       9   : A processor IVT
       a   : Modification of a system service function
       b   : A generic session data region
       c   : Modification of a session function or .pdata
       d   : Modification of an import table
       e   : Modification of a session import table
       f   : Ps Win32 callout modification
       10  : Debug switch routine modification
       11  : IRP allocator modification
       12  : Driver call dispatcher modification
       13  : IRP completion dispatcher modification
       14  : IRP deallocator modification
       15  : A processor control register
       16  : Critical floating point control register modification
       17  : Local APIC modification
       18  : Kernel notification callout modification
       19  : Loaded module list modification
       1a  : Type 3 process list corruption
       1b  : Type 4 process list corruption
       1c  : Driver object corruption
       1d  : Executive callback object modification
       1e  : Modification of module padding
       1f  : Modification of a protected process
       20  : A generic data region
       21  : A page hash mismatch
       22  : A session page hash mismatch
       23  : Load config directory modification
       24  : Inverted function table modification
       25  : Session configuration modification
       26  : An extended processor control register
       27  : Type 1 pool corruption
       28  : Type 2 pool corruption
       29  : Type 3 pool corruption
       2a  : Type 4 pool corruption
       2b  : Modification of a function or .pdata
       2c  : Image integrity corruption
       2d  : Processor misconfiguration
       2e  : Type 5 process list corruption
       2f  : Process shadow corruption
       101 : General pool corruption
       102 : Modification of win32k.sys

看看8吧 不要骗自己了

KomiMoe 1天前

8

0

下个月的第二个星期二见

hzqst 3 13小时前

9

0

2016年就试过了,稳定性很差,动不动炸进程或者蓝屏

最后于 13小时前 被hzqst编辑 ,原因:

killpy 2 11小时前

10

0

老v 2013年培训就讲过了 FuckObject 呵呵 不过感谢分享

游客

登录 | 注册 方可回帖

返回


文章来源: https://bbs.pediy.com/thread-256735.htm
如有侵权请联系:admin#unsafe.sh