擴充_ETHREAD結構
在某些場景下,我想要系統的某些結構跟我自己的資料進行繫結,如map<EPROCESS process,uint64_t DebugPort>。但是在某些情況下map+lock並不適用。我希望擴充系統的這些結構,在分配這些結構體的時候多分配一部分出來來達到繫結的目的。
翻閱一下wrk,找到相關的地方:
ETHREAD:
EPROCESS:
可以看到呼叫ObCreateObject傳入對應的結構體大小,即分配了對應的記憶體。但是在WIN10下,這個地方有少許改變,win10下仍然有ObCreateObject,
但是成了ObCreateObjectEx的封裝,系統分配結構體的地方也變了。
可以看到ObCreateObjectEx比 ObCreateObject在後面多了一個引數,
多的這個引數,是在 ObCreateObjectEx呼叫ObpAllocateObject時使用。
回到前面,我們HOOK ObCreateObjectEx 判斷ObjectType,修改ObjectBodySize來達到擴充的目的。
先定義需要擴充的結構和一個flag,表明該執行緒是否經過擴充,因為在我們處理過後的建立的執行緒才會有擴充。除此之外,我們還需要記錄原始結構體的大小,以便我們到時候獲取擴充套件的資料。
接著,我們HOOK ObCreateObjectEx,在HOOK裡面判斷型別,並記錄原始大小。
然後除錯一下:
可以看到_ethread在我係統中的大小是0x8e0,然後測試一下,系統建立執行緒,結束執行緒都是正常的。
我們啟動一個程式,看下它的執行緒是否正確擴充了。
附錄——我的系統版本
原文作者: xiaofu(看雪ID)
原文連結:https://bbs.pediy.com/thread-246625.htm
轉載請註明:轉自看雪論壇。
看雪推薦:
1、[分享]【看雪安全開發者峰會2018】議題:自動逆向機器人
3、[原創]看雪安全峰會—《從WPA2四次握手看KRACK金鑰重灌攻擊》
4、[原創]看雪.京東 2018CTF第十五題 智慧裝置 writeup
5、[原創]第十三題 NeuralCrackme Writeup
相關文章
- if-else擴充套件結構練習套件
- 不改表結構如何動態擴充套件欄位套件
- PHP的SPL擴充套件庫(一)資料結構PHP套件資料結構
- 寫了個 Laravel 高效樹結構生成的擴充套件Laravel套件
- Spring常見擴充總結Spring
- 微服務架構擴充套件FreeStyle微服務架構套件
- 分享一個便於擴充套件的使用者表結構套件
- kotlin 擴充套件(擴充套件函式和擴充套件屬性)Kotlin套件函式
- 前端進階(11) – js 資料結構型別擴充套件:immutable-js前端JS資料結構型別套件
- 一起學習PHP中的DS資料結構擴充套件(一)PHP資料結構套件
- 使用 Zephir 輕鬆構建 PHP 擴充套件PHP套件
- 如何構建一個優雅擴充套件套件
- larabbs 使用的一些擴充總結
- [外掛擴充套件]友情連結——外掛套件
- 重構 - 設計API的擴充套件機制API套件
- 微服務架構:自動擴充套件簡介微服務架構套件
- 【Kotlin】擴充套件屬性、擴充套件函式Kotlin套件函式
- 簡要剖析:可擴充套件的微服務架構套件微服務架構
- 【軟體架構篇】常見可擴充套件模式架構套件模式
- 谷歌的三大可擴充套件核心架構谷歌套件架構
- 擴充訓練
- Spring JPA 擴充Spring
- 擴充套件工具套件
- python列表擴充Python
- Sanic 擴充套件套件
- Mybatis擴充套件MyBatis套件
- SpringMVC 擴充套件SpringMVC套件
- ORACLE 擴充套件Oracle套件
- RabbitMQ實戰:擴充套件介紹與系列總結MQ套件
- 使用Kotlin擴充套件函式擴充套件Spring Data案例Kotlin套件函式Spring
- JMeter 擴充套件開發:擴充套件 TCP 取樣器JMeter套件TCP
- MySQL 高擴充套件架構構建百萬線上系統實踐MySql套件架構
- Django與微服務架構:構建可擴充套件的Web應用Django微服務架構套件Web
- 讀構建可擴充套件分散式系統:方法與實踐09可擴充套件資料庫基礎套件分散式資料庫
- 開源 [輪子] Laravel 專案架構擴充套件包Laravel架構套件
- 如何重構CRM系統,滿足擴充套件的需求套件
- bgo: 具備擴充套件性的 go 程式構建工具Go套件
- 如何構建可控,可靠,可擴充套件的 PWA 應用套件