擴充_ETHREAD結構
在某些場景下,我想要系統的某些結構跟我自己的資料進行繫結,如map<EPROCESS process,uint64_t DebugPort>。但是在某些情況下map+lock並不適用。我希望擴充系統的這些結構,在分配這些結構體的時候多分配一部分出來來達到繫結的目的。
翻閱一下wrk,找到相關的地方:
ETHREAD:
EPROCESS:
可以看到呼叫ObCreateObject傳入對應的結構體大小,即分配了對應的記憶體。但是在WIN10下,這個地方有少許改變,win10下仍然有ObCreateObject,
但是成了ObCreateObjectEx的封裝,系統分配結構體的地方也變了。
可以看到ObCreateObjectEx比 ObCreateObject在後面多了一個引數,
多的這個引數,是在 ObCreateObjectEx呼叫ObpAllocateObject時使用。
回到前面,我們HOOK ObCreateObjectEx 判斷ObjectType,修改ObjectBodySize來達到擴充的目的。
先定義需要擴充的結構和一個flag,表明該執行緒是否經過擴充,因為在我們處理過後的建立的執行緒才會有擴充。除此之外,我們還需要記錄原始結構體的大小,以便我們到時候獲取擴充套件的資料。
接著,我們HOOK ObCreateObjectEx,在HOOK裡面判斷型別,並記錄原始大小。
然後除錯一下:
可以看到_ethread在我係統中的大小是0x8e0,然後測試一下,系統建立執行緒,結束執行緒都是正常的。
我們啟動一個程式,看下它的執行緒是否正確擴充了。
附錄——我的系統版本
原文作者: xiaofu(看雪ID)
原文連結:https://bbs.pediy.com/thread-246625.htm
轉載請註明:轉自看雪論壇。
看雪推薦:
1、[分享]【看雪安全開發者峰會2018】議題:自動逆向機器人
3、[原創]看雪安全峰會—《從WPA2四次握手看KRACK金鑰重灌攻擊》
4、[原創]看雪.京東 2018CTF第十五題 智慧裝置 writeup
5、[原創]第十三題 NeuralCrackme Writeup
相關文章
- if-else擴充套件結構練習套件
- 不改表結構如何動態擴充套件欄位套件
- PHP的SPL擴充套件庫(一)資料結構PHP套件資料結構
- Swift列舉,結構體,類,擴充套件,協議Swift結構體套件協議
- 寫了個 Laravel 高效樹結構生成的擴充套件Laravel套件
- YouTube的架構擴充套件架構套件
- 分享一個便於擴充套件的使用者表結構套件
- Spring常見擴充總結Spring
- 微服務架構擴充套件FreeStyle微服務架構套件
- 擴充正規表示式命令總結
- kotlin 擴充套件(擴充套件函式和擴充套件屬性)Kotlin套件函式
- 前端進階(11) – js 資料結構型別擴充套件:immutable-js前端JS資料結構型別套件
- 一起學習PHP中的DS資料結構擴充套件(一)PHP資料結構套件
- 使用 Zephir 輕鬆構建 PHP 擴充套件PHP套件
- 如何構建一個優雅擴充套件套件
- 架構設計的立方體擴充套件架構套件
- 如何構建高擴充套件性網站?套件網站
- [外掛擴充套件]友情連結——外掛套件
- larabbs 使用的一些擴充總結
- Oracle行資料擴充套件方法總結Oracle套件
- WCF擴充套件:行為擴充套件Behavior Extension套件
- 微服務架構:自動擴充套件簡介微服務架構套件
- 重構 - 設計API的擴充套件機制API套件
- 構建可擴充套件的有態服務套件
- 構建可擴充套件的應用(一) (轉)套件
- 【Kotlin】擴充套件屬性、擴充套件函式Kotlin套件函式
- Chrome瀏覽器擴充套件開發系列之三:Google Chrome瀏覽器擴充套件的架構Chrome瀏覽器套件Go架構
- MySQL 高擴充套件架構構建百萬線上系統實踐MySql套件架構
- Sanic 擴充套件套件
- ORACLE 擴充套件Oracle套件
- 擴充套件工具套件
- 擴充套件歐幾里得套件
- DOM擴充套件套件
- 擴充套件ACL套件
- Lua擴充套件套件
- 照片擴充套件套件
- 擴充套件篇套件
- disable or 擴充套件套件