[讨论]内存共享对象-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 4 关注私信	哇咔咔zs 2 楼保留句柄 2017-8-19 12:10 0
lucanewayne 雪币： 10 活跃值： (216) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 15 粉丝 0 关注私信	lucanewayne 3 楼具体点啊，怎么保留？除非能留在内核句柄表里面 2017-8-19 14:19 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 4 楼你让整个系统中至少一个进程持有这个section object的句柄即可就像TX的SSO对象一样 2017-8-19 16:31 0
yezhulove 雪币： 1787 活跃值： (345) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 5 楼注入到wininit里面，复制一个你的句柄。。让系统进程持有一个引用，不需要驱动。 2017-8-19 17:55 0
altmanx 雪币： 145 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 98 粉丝 0 关注私信	altmanx 6 楼如果是命名的共享内存，在你的驱动里面打开这个名字，不要close。如果不是命名对象，那你应用层传句柄给驱动，驱动里面obreferenceobject一下，但不要obdereferenceobject，这样就算进程退出，对象也不会被释放。 2017-8-19 18:39 0
lucanewayne 雪币： 10 活跃值： (216) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 15 粉丝 0 关注私信	lucanewayne 7 楼 altmanx 如果是命名的共享内存，在你的驱动里面打开这个名字，不要close。如果不是命名对象，那你应用层传句柄给驱动，驱动里面obreferenceobject一下，但不要obderefere ... 这种方式就是我想的，可惜试了一下行不通，可能是因为，传递给驱动句柄的时候还是在进程上下文，这个句柄不管怎么引用，有没有关闭，都是在进程句柄表中的，进程关闭的时候全都关闭了 2017-8-19 18:52 0
lucanewayne 雪币： 10 活跃值： (216) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 15 粉丝 0 关注私信	lucanewayne 8 楼我最后的解决方式是驱动attach到一个系统进程zwopensection一下，貌似目前可以。 2017-8-19 19:07 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 6 关注私信	linziqingl 4 9 楼既然都进驱动了那就开一个系统线程然后obreferenceobject 2017-8-20 03:50 0
Hbruce 雪币： 1922 活跃值： (2300) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	Hbruce 10 楼有没有方法监控哪个进程读取了该共享内存？ 2023-2-10 15:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 4 关注私信	哇咔咔zs 2 楼保留句柄 2017-8-19 12:10 0
lucanewayne 雪币： 10 活跃值： (216) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 15 粉丝 0 关注私信	lucanewayne 3 楼具体点啊，怎么保留？除非能留在内核句柄表里面 2017-8-19 14:19 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 4 楼你让整个系统中至少一个进程持有这个section object的句柄即可就像TX的SSO对象一样 2017-8-19 16:31 0
yezhulove 雪币： 1787 活跃值： (345) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 5 楼注入到wininit里面，复制一个你的句柄。。让系统进程持有一个引用，不需要驱动。 2017-8-19 17:55 0
altmanx 雪币： 145 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 98 粉丝 0 关注私信	altmanx 6 楼如果是命名的共享内存，在你的驱动里面打开这个名字，不要close。如果不是命名对象，那你应用层传句柄给驱动，驱动里面obreferenceobject一下，但不要obdereferenceobject，这样就算进程退出，对象也不会被释放。 2017-8-19 18:39 0
lucanewayne 雪币： 10 活跃值： (216) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 15 粉丝 0 关注私信	lucanewayne 7 楼 altmanx 如果是命名的共享内存，在你的驱动里面打开这个名字，不要close。如果不是命名对象，那你应用层传句柄给驱动，驱动里面obreferenceobject一下，但不要obderefere ... 这种方式就是我想的，可惜试了一下行不通，可能是因为，传递给驱动句柄的时候还是在进程上下文，这个句柄不管怎么引用，有没有关闭，都是在进程句柄表中的，进程关闭的时候全都关闭了 2017-8-19 18:52 0
lucanewayne 雪币： 10 活跃值： (216) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 15 粉丝 0 关注私信	lucanewayne 8 楼我最后的解决方式是驱动attach到一个系统进程zwopensection一下，貌似目前可以。 2017-8-19 19:07 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 6 关注私信	linziqingl 4 9 楼既然都进驱动了那就开一个系统线程然后obreferenceobject 2017-8-20 03:50 0
Hbruce 雪币： 1922 活跃值： (2300) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	Hbruce 10 楼有没有方法监控哪个进程读取了该共享内存？ 2023-2-10 15:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复