枚举和移除进程和线程回调

最新推荐文章于 2024-06-10 01:05:00 发布
原创 最新推荐文章于 2024-06-10 01:05:00 发布 · 849 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#进程回调 #线程回调

进程回调可以监视进程的创建和退出,这个在前面的章节已经讲过了。 某些游戏保护的
驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退
出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,
则马上把游戏退出。

我们注册的进程回调,会存储在一个名为 PspCreateProcessNotifyRoutine 的数组里。
PspCreateProcessNotifyRoutine 可以理解成一个 PVOID 数组, 它记录了系统里所有进程回调
的地址。这个数组最大长度是 64*sizeof(PVOID)。 所以枚举进程回调的思路如下:找到这个
数组的地址, 然后解密数组的数据, 得到所有回调的地址(这个数组记录的数据并不是回调
的 地 址 , 而 是 经 过 加 密 地 址 , 需 要 解 密 才 行 )。 枚 举 线 程 回 调 同 理 , 要 找 到
PspCreateThreadNotifyRoutine 的地址(这个数组最大长度也是 64*sizeof(PVOID)),然后解密
数据,并把解密后的地址打印出来。

至于怎么处理这些回调就简单了。可以使用标准函数(PsSetCreateProcessNotifyRoutine、
PsRemoveCreateThreadNotifyRoutine) 将其摘掉, 也可以直接在回调函数首地址写入 RET 把
回调函数废掉。 WIN64AST 就提供了两种办法处理,以对付某些奸诈的游戏保护。
首先要获得 PspCreateProcessNotifyRoutine 的地址。 PspCreateProcessNotifyRoutine 在
PspSetCreateProcessNotifyRoutine 函数里出现了。 而 PspSetCreateProcessNotifyRoutine 则在
PsSetCreateProcessNotifyRoutine 中被调用(注意前一个是 PspXXX, 后一个是 PsXXX)。 找到
PspSetCreateProcessNotifyRoutine 之后,再匹配特征码

#include <ntddk.h>


void CreateThreadNotify1
(
IN HANDLE  ProcessId,
IN HANDLE  ThreadId,
IN BOOLEAN  Create
)
{
	DbgPrint("CreateThreadNotify1\n");
}

void CreateThreadNotify2
(
IN HANDLE  ProcessId,
IN HANDLE  ThreadId,
IN BOOLEAN  Create
)
{
	DbgPrint("CreateThreadNotify2\n");
}

void CreateThreadNotifyTest(BOOLEAN Remove)
{
	if (!Remove)
	{
		PsSetCreateThreadNotifyRoutine(CreateThreadNotify1);
		PsSetCreateThreadNotifyRoutine(CreateThreadNotify2);
	}
	else
	{
		PsRemoveCreateThreadNotifyRoutine(CreateThreadNotify1);
		PsRemoveCreateThreadNotifyRoutine(CreateThreadNotify2);
	}
}

ULONG64 FindPspCreateProcessNotifyRoutine()
{
	LONG			OffsetAddr = 0;
	ULONG64			i = 0, pCheckArea = 0;
	UNICODE_STRING	unstrFunc;
	//获得PsSetCreateProcessNotifyRoutine的地址
	RtlInitUnicodeString(&unstrFunc, L"PsSetCreateProcessNotifyRoutine");
	pCheckArea = (ULONG64)MmGetSystemRoutineAddress(&unstrFunc);
	//获得PspSetCreateProcessNotifyRoutine的地址
	memcpy(&OffsetAddr, (PUCHAR)pCheckArea + 4, 4);
	pCheckArea = (pCheckArea + 3) + 5 + OffsetAddr;
	DbgPrint("PspSetCreateProcessNotifyRoutine: %llx", pCheckArea);
	//获得PspCreateProcessNotifyRoutine的地址
	for (i = pCheckArea; i<pCheckArea + 0xff; i++)
	{
		if (*(PUCHAR)i == 0x4c && *(PUCHAR)(i + 1) == 0x8d && *(PUCHAR)(i + 2) == 0x35)	//lea r14,xxxx
		{
			LONG OffsetAddr = 0;
			memcpy(&OffsetAddr, (PUCHAR)(i + 3), 4);
			return OffsetAddr + 7 + i;
		}
	}
	return 0;
}

//
VOID EnumCreateProcessNotify()
{
	int i = 0;
	BOOLEAN b;
	ULONG64	NotifyAddr = 0, MagicPtr = 0;
	ULONG64	PspCreateProcessNotifyRoutine = FindPspCreateProcessNotifyRoutine();
	DbgPrint("PspCreateProcessNotifyRoutine: %llx", PspCreateProcessNotifyRoutine);
	if (!PspCreateProcessNotifyRoutine)
		return;
	for (i = 0; i<64; i++)
	{
		MagicPtr = PspCreateProcessNotifyRoutine + i * 8;
		NotifyAddr = *(PULONG64)(MagicPtr);
		if (MmIsAddressValid((PVOID)NotifyAddr) && NotifyAddr != 0)
		{
			NotifyAddr = *(PULONG64)(NotifyAddr & 0xfffffffffffffff8);
			DbgPrint("[CreateProcess]%llx", NotifyAddr);
		}
	}
}

ULONG64 FindPspCreateThreadNotifyRoutine()
{
	ULONG64			i = 0, pCheckArea = 0;
	UNICODE_STRING	unstrFunc;
	RtlInitUnicodeString(&unstrFunc, L"PsSetCreateThreadNotifyRoutine");
	pCheckArea = (ULONG64)MmGetSystemRoutineAddress(&unstrFunc);
	DbgPrint("PsSetCreateThreadNotifyRoutine: %llx", pCheckArea);
	for (i = pCheckArea; i<pCheckArea + 0xff; i++)
	{
		if (*(PUCHAR)i == 0x48 && *(PUCHAR)(i + 1) == 0x8d && *(PUCHAR)(i + 2) == 0x0d)	//lea rcx,xxxx
		{
			LONG OffsetAddr = 0;
			memcpy(&OffsetAddr, (PUCHAR)(i + 3), 4);
			return OffsetAddr + 7 + i;
		}
	}
	return 0;
}


VOID EnumCreateThreadNotify()
{
	int i = 0;
	BOOLEAN b;
	ULONG64	NotifyAddr = 0, MagicPtr = 0;
	ULONG64	PspCreateThreadNotifyRoutine = FindPspCreateThreadNotifyRoutine();
	DbgPrint("PspCreateThreadNotifyRoutine: %llx", PspCreateThreadNotifyRoutine);
	if (!PspCreateThreadNotifyRoutine)
		return;
	for (i = 0; i<64; i++)
	{
		MagicPtr = PspCreateThreadNotifyRoutine + i * 8;
		NotifyAddr = *(PULONG64)(MagicPtr);
		if (MmIsAddressValid((PVOID)NotifyAddr) && NotifyAddr != 0)
		{
			NotifyAddr = *(PULONG64)(NotifyAddr & 0xfffffffffffffff8);
			DbgPrint("[CreateThread]%llx", NotifyAddr);
		}
	}
}

 

Java高频面试基础问题与知识点整理
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
11-04 171万+
Java高频面试知识点总结:覆盖高频基础知识考点+高频集合知识点深入分析+高频多线程与并发编程面试题汇总+其他扩展考察等。
万字长文,从0到1手写一个工业级C++信号槽,设计一个线程安全的C++回调系统
最新发布
weixin_45715405的博客
11-05 42
本文探讨了多线程编程在现代软件开发中的必要性及其固有挑战,如线程安全、死锁线程通信等。提出了一种基于C++标准库的轻量级解决方案,融合了信号槽机制事件循环模型。信号槽实现松耦合的事件处理,而事件循环模型通过线程安全的事件队列管理跨线程调用。核心组件包括Object基类的线程归属管理事件循环绑定,为开发者提供清晰的API设计高内聚、低耦合的模块化架构,从而有效解决并发编程中的复杂性问题。
Win64 驱动内核编程-31.枚举与删除映像回调
天使也掉毛
04-04 2191
枚举与删除映像回调 映像回调可以拦截RING3RING0的映像加载。某些游戏保护会用此来拦截黑名单中的驱动加载,比如XUETR、WIN64AST的驱动。同理,在反游戏保护的过程中,也可以拦截游戏驱动的加载。 跟进程/线程回调类似,映像回调也存储在数组里。这个数组的“符号名”是PspLoadImageNotifyRoutine。我们可以在PsSetLoadImag...
Win64 驱动内核编程-12.回调监控进线程创建退出
天使也掉毛
03-12 4278
回调监控进线程创建退出     两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分别对应的回调函数类型: VOID MyCreateProcessNotify ( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEA
枚举移除对象回调
liuhaidon1992的博客
01-08 824
对象回调是目前绝大多数游戏保护用于保护游戏进程用的回调。 对象回调存储在对应对象结构体里, 简单来说,就是存储在 ObjectType. CallbackList 这个双向链表里。 1: kd> dt _object_type nt!_OBJECT_TYPE +0x000 TypeList : _LIST_ENTRY +0x010 Name : _U...
易语言枚举进程的三种方法
07-22
易语言枚举进程的三种方法源码,枚举进程的三种方法,子程序1,子程序2,CloseHandle,CreateToolhelp32Snapshot,NtQuerySystemInformation,HeapFree,GetProcessHeap,HeapAlloc,RtlMoveMemory,LocalSize_SPINFOR,EnumProcesses,EnumProcessModules,GetModuleFileNa
使用易语言完成进程枚举代码分析
weixin_33724659的博客
03-05 941
相信很多人在易语言编程中包括其他编程中在进行进程方面的操作,特别是进程枚举的时候都会用到别人的代码、公开的dll、类、模块等。 很少有人能自己写出进程枚举操作。特别是对于使用易语言的同学来说更是如此了。你们使用了易语言带来的便利性,却忽视了自己知识的重要性。 下面我就对非常短的进程枚举代码进行一下分析。(仅能枚举普通进程,不能进入内核枚举隐藏进程) 首先讲一下要用...
Win64 驱动内核编程-30.枚举与删除线程回调
天使也掉毛
04-04 4754
枚举与删除线程回调 进程回调可以监视进程的创建退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。 我们注册的进程回调,会存储在一个名为PspCreateProc...
内核枚举LoadImage映像回调移除指定驱动123.sys的LoadImage映像回调,不卸载123.sys驱动的源代码
03-23
### 关于通过内核枚举LoadImage通知回调移除与特定驱动程序相关的回调 在Windows内核环境中,`LoadImage`通知回调是一种机制,允许开发者监控模块加载事件。要实现仅移除与特定驱动程序(如 `123.sys`)相关的回...
【LangChain编程:从入门到实践】回调处理器
AI天才研究院
06-10 607
【LangChain编程:从入门到实践】回调处理器 1. 背景介绍 在现代软件开发中,异步编程事件驱动架构已成为主流趋势。而回调(Callback)作为一种常见的异步编程模式,在各种编程语言框架中得到广泛应用。LangChain作为一个强大的自然语言处理(NLP)编程
【开源】线程枚举工具 可以枚举出一个软件存在的线程-易语言
06-11
软件可以枚举出一个软件的所有线程及路径入口 TX的游戏有TP进程保护  没有写提升读写权限 加入System权限   可以枚举TX游戏线程  暂停线程  停止线程等没有写
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
大话 回调函数 枚举
思緒凌亂
01-09 1848
一:起因 (1)接着上一篇博客   大话 函数指针 指针函数 (2)对指针的应用是C语言编程的精髓所在,而回调函数就是C语言里面对函数指针的高级应用 (3)回调函数可以实现代码具体实现 功能描述的分开,可以实现代码的重用性,特别是代码的可扩展性 (4)要想实现函数与类型无关,就可以借助回调函数就可以达到这个目的,当然也可以通过泛型来实现相应的方法。 (5)使得函数可以作为
驱动开发:内核枚举进程线程ObCall回调
热门推荐
优快云
10-22 2万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
枚举特定进程的所有线程列表
08-13 744
#include &lt;stdlib.h&gt; #include &lt;stdio.h&gt; #include &lt;windows.h&gt; #include &lt;tlhelp32.h&gt; BOOL RefreshThreadList(DWORD dwOwnerPID) { HANDLE hThreadSnap = NULL; BOOL ...
x64下进程保护HOOK
weixin_30399797的博客
07-24 649
目录 x64(32)下的进程保护回调. 一丶进程保护线程保护 1.简介以及原理 1.2 代码 1.3注意的问题 二丶丶回调函数写法 2.1 遇到的问题. 2.2 回调代码 ...
9种枚举枚举进程的方法及实现
爱杀之爪的矩阵
07-02 1760
<br />//<br />//native api获得进程表<br />NTSTATUS NativeApiEnumProcess()<br />{<br /> ULONG pNeededSize=0;<br /> int iCount = 1;<br /> int bOver=0;<br /> NTSTATUS status;<br /> ULONG uSize;<br /> PVOID pSi=NULL; <br /> PSYSTEM_PROCESS_INFORMATION pSpiNext = NU
PspCreateProcessNotifyRoutine,PspCreateThreadNotifyRoutine,PspLoadImageNotifyRoutine表全部清空
KernelEx的专栏
08-20 5046
RtlInitUnicodeString(&name,L"PsSetCreateProcessNotifyRoutine");RemoveNotifyRoutine((PVOID)MmGetSystemRoutineAddress(&name));RtlInitUnicodeString(&name,L"PsRemoveCreateThreadNotifyRoutine");Rem
c++游戏小技巧14:多线程+线程池(全网最全,c++)
zzb的博客
01-23 1868
不摆烂了,好好写文章
recyclerviewadapter异步渲染并回调
09-12
<think> 我们讨论的是RecyclerView及其Adapter在异步渲染完成后的回调问题。需要确保在异步加载数据并设置Adapter后,能够准确监听到所有视图渲染完成。 之前的讨论中已经给出了几种方法,包括使用ViewTreeObserver、自定义LayoutManager、结合Adapter数据观察等。 现在用户的问题更侧重于“异步渲染”,即数据加载是异步的,设置Adapter也可能在后台线程(但UI操作必须在主线程),渲染本身是异步的过程。 我们可以提供一种方案,结合数据加载的异步性渲染完成的检测,确保在数据设置后,RecyclerView完成所有item的布局后再回调。 注意:由于RecyclerView的渲染是异步的,所以我们需要在数据设置后监听布局完成。 这里我们采用一种组合方案: 1. 在异步任务中加载数据。 2. 回到主线程设置Adapter(这步必须在主线程)。 3. 注册一个全局布局监听器(ViewTreeObserver.OnGlobalLayoutListener)来检测布局完成。 4. 在布局完成的回调中,我们判断是否有子项(或者为空)来触发渲染完成的回调。 同时,为了避免布局监听器被多次调用,我们在第一次回调后立即移除监听。 另外,考虑异步加载数据可能很快,但渲染需要时间,所以我们需要确保在视图布局完成后再回调。 此外,我们还需要考虑数据为空的情况。 以下是示例代码: </think> ### RecyclerView 与 Adapter 异步渲染回调解决方案 在 Android 开发中实现 RecyclerView 与 Adapter 的异步渲染回调,关键在于协调数据加载、视图绑定渲染完成的监听时序。以下是完整实现方案: #### 核心架构:异步数据流 + 渲染状态机 ```kotlin class AsyncRenderRecyclerView(context: Context) : RecyclerView(context) { // 渲染状态枚举 enum class RenderState { IDLE, DATA_LOADING, ADAPTER_SETTING, RENDERING, COMPLETED } private var currentState = RenderState.IDLE private val renderListeners = mutableListOf<() -> Unit>() private val mainHandler = Handler(Looper.getMainLooper()) // 注册渲染完成监听器 fun addRenderListener(listener: () -> Unit) { if (currentState == RenderState.COMPLETED) { listener.invoke() // 若已完成立即回调 } else { renderListeners.add(listener) } } // 异步设置适配器(核心方法) fun setAdapterAsync(adapter: Adapter<*>, dataLoader: () -> List<Any>) { currentState = RenderState.DATA_LOADING // 启动异步数据加载 CoroutineScope(Dispatchers.IO).launch { val data = dataLoader() withContext(Dispatchers.Main) { currentState = RenderState.ADAPTER_SETTING this@AsyncRenderRecyclerView.adapter = adapter.apply { submitList(data) // 提交数据 } // 启动渲染监听 startRenderingMonitor() } } } private fun startRenderingMonitor() { currentState = RenderState.RENDERING // 方案1:视图树布局监听 viewTreeObserver.addOnGlobalLayoutListener(object : OnGlobalLayoutListener { override fun onGlobalLayout() { viewTreeObserver.removeOnGlobalLayoutListener(this) checkRenderCompletion() } }) // 方案2:适配器数据观察(双保险) adapter?.registerAdapterDataObserver(object : AdapterDataObserver() { override fun onItemRangeInserted(position: Int, itemCount: Int) { super.onItemRangeInserted(position, itemCount) checkRenderCompletion() } }) // 超时保护(2秒) mainHandler.postDelayed({ if (currentState != RenderState.COMPLETED) { notifyRenderCompletion() } }, 2000) } private fun checkRenderCompletion() { post { // 双重验证条件 val isRendered = (childCount > 0 && getChildAt(0).width > 0) || (adapter?.itemCount == 0) if (isRendered) notifyRenderCompletion() } } private fun notifyRenderCompletion() { if (currentState == RenderState.COMPLETED) return currentState = RenderState.COMPLETED // 通知所有监听器 renderListeners.forEach { it.invoke() } renderListeners.clear() } } ``` #### 使用示例 ```kotlin // 在 Activity/Fragment 中 val asyncRecyclerView = AsyncRenderRecyclerView(context).apply { layoutManager = LinearLayoutManager(context) // 添加渲染监听 addRenderListener { Log.d("Render", "异步渲染完成") hideLoading() } // 异步设置适配器 setAdapterAsync(MyAdapter()) { // 模拟耗时数据加载(IO线程执行) delay(1000) generateLargeDataList() // 返回数据集 } } ``` #### 关键优化技术 1. **异步管道控制** ```kotlin // 使用协程管道控制并发 val renderChannel = Channel<RenderEvent>(capacity = 10) suspend fun processRenderEvents() { for (event in renderChannel) { when (event) { is DataLoadedEvent -> handleDataLoaded(event.data) is ViewRenderedEvent -> handleViewRendered() } } } ``` 2. **视图渲染验证** ```kotlin // 精确检测 item 完成渲染 private fun isViewRendered(view: View): Boolean { return view.width > 0 && view.height > 0 && ViewCompat.isLaidOut(view) } // 在 LayoutManager 中覆盖 override fun onLayoutCompleted(state: State?) { super.onLayoutCompleted(state) if (findFirstVisibleItemPosition() != -1) { asyncRecyclerView?.checkRenderCompletion() } } ``` 3. **性能监控工具** ```kotlin // 添加渲染时序标记 class RenderTrace { fun startTrace(tag: String) = Trace.beginSection(tag) fun endTrace() = Trace.endSection() } // 在关键节点添加 renderTrace.startTrace("ASYNC_DATA_LOAD") // ...数据加载代码 renderTrace.endTrace() ``` ### 异常处理机制 1. **内存泄漏防护** ```kotlin // 在 onDestroy 中释放资源 override fun onDestroy() { asyncRecyclerView?.apply { clearRenderListeners() mainHandler.removeCallbacksAndMessages(null) } } ``` 2. **错误重试策略** ```kotlin private var retryCount = 0 private fun handleRenderError() { if (retryCount++ < MAX_RETRY) { postDelayed({ startRenderingMonitor() }, 300) } else { notifyRenderCompletion() // 强制完成 } } ``` 3. **并发冲突解决** ```kotlin // 使用原子状态更新 private val renderState = AtomicReference(RenderState.IDLE) fun updateState(newState: RenderState) { while (true) { val current = renderState.get() if (renderState.compareAndSet(current, newState)) break } } ``` ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值