遍历Windows内核ObjectType


一、背景

        Windows内核中有很多类型,例如PROCESS、THREAD、FILE、MUTANT,这些类型都由对象管理器集中管理,见下图:

遍历Windows内核ObjectType

 

 

  其中有些对象类型是导出的,例如有IoDriverObjectType, PsProcessType等,有些是文档化的,有些是导出的,还有的是未导出的。在使用未导出的对象指针时就得想办法获得,在此遍历对象类型及其相关信息,使用未导出的对象类型时可以直接使用,对象类型结构之类不作详细分析,直接上相关实现的分析。

 

 二、几个主要的内核变量

   ObpTypeObjectType、ObpObjectTypes、ObTypeIndexTable。

  • ObpTypeObjectType

  这个表保存的是原始对象名称为”Type”的对象类型。Windbg调试Win7格式化如下:

5: kd>  dq nt!ObpTypeObjectType
fffff800`0666e5a8  fffffa80`30e4c530 00000000`00000000
fffff800`0666e5b8  00000000`00000000 fffffa80`30e4c530
fffff800`0666e5c8  fffffa80`30e4c3e0 fffffa80`30e4c290
fffff800`0666e5d8  fffffa80`30e525a0 fffffa80`30e52380
fffff800`0666e5e8  fffffa80`30e52230 fffffa80`30ee0080
fffff800`0666e5f8  fffffa80`30ee0f30 fffffa80`30ee0de0
fffff800`0666e608  fffffa80`30ee1080 fffffa80`30f5a940
fffff800`0666e618  fffffa80`30f4ca10 fffffa80`30f4c8c0

  然后取第一个数据查看如下:

5: kd> dt _object_type fffffa80`30e4c530
ntdll!_OBJECT_TYPE
   +0x000 TypeList         : _LIST_ENTRY [ 0xfffffa80`30e4c4e0 - 0xfffffa80`3205db20 ]
   +0x010 Name             : _UNICODE_STRING "Type"
   +0x020 DefaultObject    : 0xfffff800`0666e7a0 Void
   +0x028 Index            : 0x2 ''
   +0x02c TotalNumberOfObjects : 0x2a
   +0x030 TotalNumberOfHandles : 0
   +0x034 HighWaterNumberOfObjects : 0x2a
   +0x038 HighWaterNumberOfHandles : 0
   +0x040 TypeInfo         : _OBJECT_TYPE_INITIALIZER
   +0x0b0 TypeLock         : _EX_PUSH_LOCK
   +0x0b8 Key              : 0x546a624f
   +0x0c0 CallbackList     : _LIST_ENTRY [ 0xfffffa80`30e4c5f0 - 0xfffffa80`30e4c5f0 ]

  这个就是第一个名为Type的ObjectType。再取后边第五个非fffffa80`30e4c530的看:

5: kd> dt _object_type fffffa80`30e4c3e0
ntdll!_OBJECT_TYPE
   +0x000 TypeList         : _LIST_ENTRY [ 0xfffffa80`30e4c3e0 - 0xfffffa80`30e4c3e0 ]
   +0x010 Name             : _UNICODE_STRING "Directory"
   +0x020 DefaultObject    : 0xfffff800`0666e7a0 Void
   +0x028 Index            : 0x3 ''
   +0x02c TotalNumberOfObjects : 0x25
   +0x030 TotalNumberOfHandles : 0x70
   +0x034 HighWaterNumberOfObjects : 0x29
   +0x038 HighWaterNumberOfHandles : 0x83
   +0x040 TypeInfo         : _OBJECT_TYPE_INITIALIZER
   +0x0b0 TypeLock         : _EX_PUSH_LOCK
   +0x0b8 Key              : 0x65726944
   +0x0c0 CallbackList     : _LIST_ENTRY [ 0xfffffa80`30e4c4a0 - 0xfffffa80`30e4c4a0 ]

  

  其为目录对象。

  那似乎通过ObpTypeObjectType这个就可以遍历所有的对象类型,之前查看其它的文章也有这个指出的。

  那如何获取到ObpTypeObjectType,根据Windbg调试发现ObCreateObjectTypeEx中有对其的引用 :

nt!ObCreateObjectTypeEx+0x2e3:
fffff800`068a1373 0fb74602        movzx   eax,word ptr [rsi+2]
fffff800`068a1377 488d4c2460      lea     rcx,[rsp+60h]
fffff800`068a137c 488bd6          mov     rdx,rsi
fffff800`068a137f 6689442462      mov     word ptr [rsp+62h],ax
fffff800`068a1384 e827fec0ff      call    nt!RtlCopyUnicodeString (fffff800`064b11b0)
fffff800`068a1389 4c8b2518d2dcff  mov     r12,qword ptr [nt!ObpTypeObjectType (fffff800`0666e5a8)]
fffff800`068a1390 4d3be6          cmp     r12,r14
fffff800`068a1393 7555            jne     nt!ObCreateObjectTypeEx+0x35a (fffff800`068a13ea)  Branch

  而ObCreateObjectTypeEx又被ObCreateObjectType调用:

5: kd> uf nt!ObCreateObjectType
nt!ObCreateObjectType:
fffff800`068a1a90 4883ec38        sub     rsp,38h
fffff800`068a1a94 4c894c2420      mov     qword ptr [rsp+20h],r9
fffff800`068a1a99 4533c9          xor     r9d,r9d
fffff800`068a1a9c e8eff5ffff      call    nt!ObCreateObjectTypeEx (fffff800`068a1090)
fffff800`068a1aa1 4883c438        add     rsp,38h
fffff800`068a1aa5 c3              ret

  

  而ObCreateObjectType是导出的。

  似乎得出结论可以用此来定位。

  但在Win10系统上格式化结构却得出来的数据不正确,见下:

0: kd> dq nt!ObpTypeObjectType
fffff806`11c25b30  ffffb386`f147fea0 ffffe001`81a2fce0
fffff806`11c25b40  00000000`00000000 00000000`00000000
fffff806`11c25b50  00000000`00000000 00000000`00000000
fffff806`11c25b60  00000000`00000000 00000000`00000000
fffff806`11c25b70  00000000`00000000 00000000`00000000
fffff806`11c25b80  00000000`00000000 00000000`00000000
fffff806`11c25b90  00000000`00000000 00000000`00000000
fffff806`11c25ba0  00000000`00000000 00000000`00000000

  发现除了第一个头外后边都是空的。

  其原因就是在Win7上后边连续填充的数据对应的是另一个ObpObjectTypes的数据。

  

5: kd>  dq nt!ObpTypeObjectType
fffff800`0666e5a8  fffffa80`30e4c530 00000000`00000000
fffff800`0666e5b8  00000000`00000000 fffffa80`30e4c530
fffff800`0666e5c8  fffffa80`30e4c3e0 fffffa80`30e4c290
fffff800`0666e5d8  fffffa80`30e525a0 fffffa80`30e52380
fffff800`0666e5e8  fffffa80`30e52230 fffffa80`30ee0080
fffff800`0666e5f8  fffffa80`30ee0f30 fffffa80`30ee0de0
fffff800`0666e608  fffffa80`30ee1080 fffffa80`30f5a940
fffff800`0666e618  fffffa80`30f4ca10 fffffa80`30f4c8c0
5: kd> dq nt!ObpObjectTypes
fffff800`0666e5c0  fffffa80`30e4c530 fffffa80`30e4c3e0
fffff800`0666e5d0  fffffa80`30e4c290 fffffa80`30e525a0
fffff800`0666e5e0  fffffa80`30e52380 fffffa80`30e52230
fffff800`0666e5f0  fffffa80`30ee0080 fffffa80`30ee0f30
fffff800`0666e600  fffffa80`30ee0de0 fffffa80`30ee1080
fffff800`0666e610  fffffa80`30f5a940 fffffa80`30f4ca10
fffff800`0666e620  fffffa80`30f4c8c0 fffffa80`30f30c30
fffff800`0666e630  fffffa80`30f30ae0 fffffa80`30f538c0

  可以看到 ObpTypeObjectType之后第三个数据的地址及为ObpObjectTypes的开始地址。

  而在Win10上是不连续的,没办法用ObpTypeObjectType来遍历了。

0: kd> dq nt!ObpTypeObjectType
fffff806`11c25b30  ffffb386`f147fea0 ffffe001`81a2fce0
fffff806`11c25b40  00000000`00000000 00000000`00000000
fffff806`11c25b50  00000000`00000000 00000000`00000000
fffff806`11c25b60  00000000`00000000 00000000`00000000
fffff806`11c25b70  00000000`00000000 00000000`00000000
fffff806`11c25b80  00000000`00000000 00000000`00000000
fffff806`11c25b90  00000000`00000000 00000000`00000000
fffff806`11c25ba0  00000000`00000000 00000000`00000000
0: kd> dq nt!ObpObjectTypes
fffff806`11c25280  ffffb386`f147fea0 ffffb386`f1460a10
fffff806`11c25290  ffffb386`f145fe70 ffffb386`f14c7e80
fffff806`11c252a0  ffffb386`f14c77a0 ffffb386`f14c7220
fffff806`11c252b0  ffffb386`f14c7640 ffffb386`f14c70c0
fffff806`11c252c0  ffffb386`f14c7900 ffffb386`f14c7a60
fffff806`11c252d0  ffffb386`f14c7380 ffffb386`f14c74e0
fffff806`11c252e0  ffffb386`f14c7d20 ffffb386`f14c7bc0
fffff806`11c252f0  ffffb386`f14f1f00 ffffb386`f14f1c40

 

  • ObpObjectTypes

  这个变量来说确实是保存了所有的对象类型,但有个问题是不太容易从导出的函数来定位这个数据。IDA查看其代码引用处如下:

遍历Windows内核ObjectType

 

   第2、3、4个函数不是直接使用的ObpObjectTypes,而其它的都不能方便的从导出函数进行定位。

  所以此方法不通。

 

  • ObTypeIndexTable

  此变量是以索顺序来存放对象类型的指针的,结构数据如下:

5: kd> dq ObTypeIndexTable
fffff800`06670100  00000000`00000000 00000000`bad0b0b0
fffff800`06670110  fffffa80`30e4c530 fffffa80`30e4c3e0
fffff800`06670120  fffffa80`30e4c290 fffffa80`30e525a0
fffff800`06670130  fffffa80`30e52380 fffffa80`30e52230
fffff800`06670140  fffffa80`30ee0080 fffffa80`30ee0f30
fffff800`06670150  fffffa80`30ee0de0 fffffa80`30ee1080
fffff800`06670160  fffffa80`30f5a940 fffffa80`30f4ca10
fffff800`06670170  fffffa80`30f4c8c0 fffffa80`30f30c30
5: kd> dt _object_type fffffa80`30e4c530
nt!_OBJECT_TYPE
   +0x000 TypeList         : _LIST_ENTRY [ 0xfffffa80`30e4c4e0 - 0xfffffa80`3205db20 ]
   +0x010 Name             : _UNICODE_STRING "Type"
   +0x020 DefaultObject    : 0xfffff800`0666e7a0 Void
   +0x028 Index            : 0x2 ''
   +0x02c TotalNumberOfObjects : 0x2a
   +0x030 TotalNumberOfHandles : 0
   +0x034 HighWaterNumberOfObjects : 0x2a
   +0x038 HighWaterNumberOfHandles : 0
   +0x040 TypeInfo         : _OBJECT_TYPE_INITIALIZER
   +0x0b0 TypeLock         : _EX_PUSH_LOCK
   +0x0b8 Key              : 0x546a624f
   +0x0c0 CallbackList     : _LIST_ENTRY [ 0xfffffa80`30e4c5f0 - 0xfffffa80`30e4c5f0 ]
5: kd> dt _object_type fffffa80`30e4c3e0
nt!_OBJECT_TYPE
   +0x000 TypeList         : _LIST_ENTRY [ 0xfffffa80`30e4c3e0 - 0xfffffa80`30e4c3e0 ]
   +0x010 Name             : _UNICODE_STRING "Directory"
   +0x020 DefaultObject    : 0xfffff800`0666e7a0 Void
   +0x028 Index            : 0x3 ''
   +0x02c TotalNumberOfObjects : 0x29
   +0x030 TotalNumberOfHandles : 0x76
   +0x034 HighWaterNumberOfObjects : 0x29
   +0x038 HighWaterNumberOfHandles : 0x83
   +0x040 TypeInfo         : _OBJECT_TYPE_INITIALIZER
   +0x0b0 TypeLock         : _EX_PUSH_LOCK
   +0x0b8 Key              : 0x65726944
   +0x0c0 CallbackList     : _LIST_ENTRY [ 0xfffffa80`30e4c4a0 - 0xfffffa80`30e4c4a0 ]

   从第2个 fffffa80`30e4c530的地址结构格式化可以看出其Index为2,对应表中的地址索引为2。其这个表就是从第2号索引开始, 第1号索引00000000`bad0b0b0    指向的实际是无效对象类型。

   IDA查看其引用如下,有很多函数中都用到:

遍历Windows内核ObjectType

 

 

   取其中较实现查找的ObGetObjectType,通过查找特征码就可以获得:

5: kd> u nt!ObGetObjectType
nt!ObGetObjectType:
fffff800`06796e60 0fb641e8        movzx   eax,byte ptr [rcx-18h]
fffff800`06796e64 488d0d9592edff  lea     rcx,[nt!ObTypeIndexTable (fffff800`06670100)]
fffff800`06796e6b 488b04c1        mov     rax,qword ptr [rcx+rax*8]
fffff800`06796e6f c3              ret
fffff800`06796e70 cc              int     3
fffff800`06796e71 cc              int     3
fffff800`06796e72 cc              int     3
fffff800`06796e73 cc              int     3

三、代码实现遍历Windows内核ObjectType

  PrintOjbectTypeList.h

#pragma once
#include <ntddk.h>

#if DBG
#define KDPRINT(projectName, format, ...) DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL,/
                                                                                          projectName "::【" __FUNCTION__  "】" ##format, /
                                                                                          ##__VA_ARGS__ ) 
#else
#define KDPRINT(format, ...)
#endif
typedef struct _OBJECT_TYPE_FLAGS {
    UCHAR CaseInsensitive : 1;
    UCHAR UnnamedObjectsOnly : 1;
    UCHAR UseDefaultObject : 1;
    UCHAR SecurityRequired : 1;
    UCHAR MaintainHandleCount : 1;
    UCHAR MaintainTypeList : 1;
    UCHAR SupportsObjectCallbacks : 1;
    UCHAR CacheAligned : 1;
}OBJECT_TYPE_FLAGS, * P_OBJECT_TYPE_FLAGS;


typedef struct _OBJECT_TYPE_INITIALIZER {
    USHORT                wLength;
    OBJECT_TYPE_FLAGS    ObjectTypeFlags;
    ULONG                ObjcetTypeCode;
    ULONG                InvalidAttributes;
    GENERIC_MAPPING        GenericMapping;
    ULONG                ValidAccessMask;
    ULONG                RetainAccess;
    ULONG                PoolType;
    ULONG                DefaultPagedPoolCharge;
    ULONG                DefaultNonPagedPoolCharge;
    PVOID                DumpProcedure;
    PVOID                OpenProcedure;
    PVOID                CloseProcedure;
    PVOID                DeleteProcedure;
    PVOID                ParseProcedure;
    PVOID                SecurityProcedure;
    PVOID                QueryNameProcedure;
    PVOID                OkayToCloseProcedure;
}OBJECT_TYPE_INITIALIZER, * POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE_EX {
    LIST_ENTRY                    TypeList;
    UNICODE_STRING                Name;
    ULONGLONG                    DefaultObject;
    ULONG                        Index;
    ULONG                        TotalNumberOfObjects;
    ULONG                        TotalNumberOfHandles;
    ULONG                        HighWaterNumberOfObjects;
    ULONG                        HighWaterNumberOfHandles;
    OBJECT_TYPE_INITIALIZER        TypeInfo;
    ULONGLONG                    TypeLock;
    ULONG                        Key;
    LIST_ENTRY                    CallbackList;
}OBJECT_TYPE_EX, * POBJECT_TYPE_EX;

 

​  PrintObjectTypeList.cpp

#include "PrintObjectTypeList.h"

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
    UNREFERENCED_PARAMETER(pDriverObject);
    KDPRINT("【PrintObjectTypeList】", "CurrentProcessId : 0x%p CurrentIRQL : 0x%u /r/n",
        PsGetCurrentProcessId(),
        KeGetCurrentIrql());
}

void PrintObTypeIndexList(PVOID pObTypeIndexTable)
{
    if (pObTypeIndexTable)
    {
        PUCHAR pStartAddress = ((PUCHAR)pObTypeIndexTable + 8 * 2); //从第2个开始
        POBJECT_TYPE_EX *pTempObjectType = (POBJECT_TYPE_EX*)(pStartAddress);
        ULONG ulIndex = 0;
        while(*pTempObjectType != NULL)
        {
            KDPRINT("【PrintObjectTypeList】", "Index:%02ld  Address:0x%p Name:%wZ/r/n", 
                ulIndex,
                *pTempObjectType,
                &(*pTempObjectType)->Name);
            pTempObjectType++;
            ulIndex++;
        }

    }
}

PVOID GetObTypeIndexTable()
{
    UNICODE_STRING usObGetObjectType = RTL_CONSTANT_STRING(L"ObGetObjectType");
    PVOID pGetObTypeIndexTable = NULL;
    PVOID pObGetObjectType = (PVOID)MmGetSystemRoutineAddress(&usObGetObjectType);
    do
    {
        if (!pObGetObjectType)
        {
            KDPRINT("【PrintObjectTypeList】", "MmGetSystemRoutineAddress Failed! /r/n");
            break;
        }

        PUCHAR pStartAddress = (PUCHAR)pObGetObjectType;
        PUCHAR pTempAddress = pStartAddress;
        for (; pTempAddress < pStartAddress + PAGE_SIZE; pTempAddress++)
        {
            if ((*(pTempAddress - 3) == 0x48) &&
                (*(pTempAddress - 2) == 0x8d) &&
                (*(pTempAddress - 1) == 0x0d) &&
                (*(pTempAddress + 4) == 0x48) &&
                (*(pTempAddress + 5) == 0x8b) &&
                (*(pTempAddress + 6) == 0x04) &&
                (*(pTempAddress + 7) == 0xc1))
            {
                LONG lOffset = *(PLONG)(pTempAddress);
                pGetObTypeIndexTable = pTempAddress + 4 + lOffset;
                break;
            }
        }

    } while (false);
    if (pGetObTypeIndexTable)
    {
        KDPRINT("【ObRegisterCallback】", "Found ObTypeIndexTable Address:0x%p /r/n", pGetObTypeIndexTable);
    }
    else
    {
        KDPRINT("【PrintObjectTypeList】", "ObTypeIndexTable Not Found!/r/n");
    }
    return pGetObTypeIndexTable;
}

EXTERN_C NTSTATUS  DriverEntry(PDRIVER_OBJECT pDriverObject,
    PUNICODE_STRING pRegistryPath)
{
    UNREFERENCED_PARAMETER(pDriverObject);
    UNREFERENCED_PARAMETER(pRegistryPath);
    KDPRINT("【PrintObjectTypeList】", " Hello Kernel World! CurrentProcessId:0x%p CurrentIRQL:0x%u/r/n",
        PsGetCurrentProcessId(),
        KeGetCurrentIrql());
    pDriverObject->DriverUnload = DriverUnload;

    NTSTATUS ntStatus = STATUS_SUCCESS;
    PVOID pGetObTypeIndexTable = GetObTypeIndexTable();
    if (pGetObTypeIndexTable)
    {
        PrintObTypeIndexList(pGetObTypeIndexTable);
    }

    return ntStatus;
}

 

四、调试结果

  •   Win7 x64

遍历Windows内核ObjectType

 

  •   Win10 x64

遍历Windows内核ObjectType

 

 

 

五、结束语

  本次代码只考虑了x64环境下的Win7 和 Win10,32位环境下以及XP未考虑,但思路大同小异。

  通过对对象类型的遍历,可以用在使用未导出的对象类型的时候取消对象指针。

 

原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/275279.html

(0)
上一篇 2022年7月18日
下一篇 2022年7月18日

相关推荐

发表回复

登录后才能评论