WinObj

WinObj es una utilidad gráfica que permite visualizar de forma jerárquica el manejador de objetos de Windows (Windows’ Object Manager), cada tipo de objeto pertenece a un determinado recurso, memoria, registro, semáforo, enlace simbólico, etc. La herramienta ofrece la posibilidad de copiar el nombre de un objeto, el nombre completo o el enlace simbólico, si es que lo tiene, también dispone de opciones de búsqueda en el menú Find o con las teclas Ctrl+S o Ctrl+F, que corresponden con la opción de búsqueda y búsqueda rápida respectivamente.

WinObj no dispone de versión mediante línea de comandos, se puede ejecutar en modo 32 o 64 bits, y como usuario sin privilegios o como administrador. El siguiente comando permite ejecutar WinObj como system, esto permite ver objetos que no están disponibles, ni siquiera, ejecutando la utilidad con privilegios de administrador.

./psexec64 -sid C:\SysinternalsSuite\Winobj64.exe

Una de las utilidades de WinObj es la búsqueda de mutantes o mutex en el sistema, un mecanismo que ayuda a que solo se ejecute una única instancia de un programa, algunos tipos de malware utilizan esta técnica para evitar la ejecución de más de una instancia o incluso para prevenir el acceso de otros programas maliciosos.

La estructura de cada objeto tendrá un nombre para identificar dicho elemento y un Security Descriptor, que se puede revisar en las propiedades de cada objeto, todos estos elementos están catalogados en la ruta \Sessions\BaseNamedObjects

Otras ubicaciones interesantes en la jerarquía de WinObj son:
\Sessions\Nro\AppContainerNamedObjects\SID
\Sessions\0\DosDevices\LUID
\GLOBAL??
\KnownDLLs
\KnownDLLs32

Seguridad a lo Jabalí para Todos!!