WinObj es una utilidad gráfica que permite visualizar de forma jerárquica el manejador de objetos de Windows (Windows’ Object Manager), cada tipo de objeto pertenece a un determinado recurso, memoria, registro, semáforo, enlace simbólico, etc. La herramienta ofrece la posibilidad de copiar el nombre de un objeto, el nombre completo o el enlace simbólico, si es que lo tiene, también dispone de opciones de búsqueda en el menú Find o con las teclas Ctrl+S o Ctrl+F, que corresponden con la opción de búsqueda y búsqueda rápida respectivamente.
./psexec64 -sid C:\SysinternalsSuite\Winobj64.exe
Una de las utilidades de WinObj es la búsqueda de mutantes o mutex en el sistema, un mecanismo que ayuda a que solo se ejecute una única instancia de un programa, algunos tipos de malware utilizan esta técnica para evitar la ejecución de más de una instancia o incluso para prevenir el acceso de otros programas maliciosos.
La estructura de cada objeto tendrá un nombre para identificar dicho elemento y un Security Descriptor, que se puede revisar en las propiedades de cada objeto, todos estos elementos están catalogados en la ruta \Sessions\BaseNamedObjects
Otras ubicaciones interesantes en la jerarquía de WinObj son:
\Sessions\Nro\AppContainerNamedObjects\SID
\Sessions\0\DosDevices\LUID
\GLOBAL??
\KnownDLLs
\KnownDLLs32
Seguridad a lo Jabalí para Todos!!
