ObInit

Jak se píše v šesté kapitole, správce objektů dovoluje jednotlivým typům objektů specificky reagovat na některé události, mezi které patří vytvoření a zrušení handle, změna či čtení popisovače zabezpečení a nastavení akcí, které se mají provést při odstraňování objektu z paměti. SPrávce objektů tyto možnosti poskytuje prostřednictvím virtuálních metod, jejichž adresy jsou uloženy ve struktuře OBJECT_TYPE_INITIALIZER každého objektu typu (ObjectType).

Projekt ObInit ukazuje, jak pomocí změny adres těchto virtuálních metod monitorovat operace prováděné nad objekty určitých typů. Projekt se opět skládá z ovladače, který provádí přesměrování virtuálních metod na své rutiny, jež následně sbírají informace o právě probíhajících operacích, a aplikace, která získané informace zobrazuje.

Tato technika přesměrování virtuálních metod se také označuje zkratkou DKOH (Direct Kernel Object Hooking) a využívá ji například program SandboxIE. Technika dobře funguje na 32bitových verzích Windows. Na 64bitových systémech ji nelze kvůli technologii PatchGuard přímo použít. Tam jsou bezpečnostní aplikace odkázány na tzv. OB filtering model. Z tohoto důvodu projekt ObInit funguje pouze na 32bitových verzích Windows.

Systém Verze kernelu
Windows XP 32bit *
Windows Server 2003 R2 32bit *
Windows Vista 32bit *
Windows 7 32bit *

Stáhnout (6. 10. 2012)

Stáhnout (7. 10. 2011)

Stáhnout (v čase vydání knihy)

Leave a Reply

Your email address will not be published.