内核进程回调遍历【记录】

原创已于 2022-05-15 21:49:44 修改 · 578 阅读

2 ·

CC 4.0 BY-SA版权

By Rose

文章标签：

#windows #c++ #c语言 #个人开发 #系统安全

于 2022-05-15 21:13:41 首次发布

函数名：PsSetCreateProcessNotifyRoutine	//添加或删除进程创建退出例程！
原型：
NTSTATUS PsSetCreateProcessNotifyRoutine(
  [in] PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,
  [in] BOOLEAN                        Remove
);
参数
[in] NotifyRoutine
指定调用方提供的进程创建回调例程的入口点。请参阅PCREATE_PROCESS_NOTIFY_ROUTINE。
[in] Remove
指示是否应将 NotifyRoutine 指定的例程添加到系统的通知例程列表中，或从中删除该例程。如果为 FALSE，则将指定的例程添加到列表中。如果为 TRUE，则从列表中删除指定的例程。
返回值
PsSetCreateProcessNotify 例程可以返回下列值之一：
返回代码	描述
STATUS_SUCCESS
给定的 NotifyRoutine 现在已向系统注册。
STATUS_INVALID_PARAMETER
给定的 NotifyRoutine 已注册，因此此调用是冗余调用，或者系统已达到注册进程创建回调的限制。

 1. `打开WinDbg`
 2. WinDbg->U PsSetCreateProcessNotifyRoutine

在这里插入图片描述

 3. 取出红色框中的地址 fffff807`0ddfdc80
 4. WinDbg->U fffff807`0ddfdc80 L200

在这里插入图片描述

 5. 继续取出地址 - 这其实就是一个进程回调数组首地址
 6. WinDbg->DQ fffff807`0dbbb060

得到所有进程回调对象地址
数一数是十个回调，嗯我看下PChunter或其他工具，都一致。

7. 取第一个地址试试ffffe706`2105042f->掩码->&0xFFFFFFFFFFFFFFF8 = 0xFFFFE70621050428
8. 得到的还不是真正的对象地址，需要WinDbg->DQ 0xFFFFE70621050428

在这里插入图片描述
这时候就得到了所谓的回调入口地址，对比下方PChunter的内容确实是一致，是第一个回调对象！

如果创建的是EX好像有HANDLE的什么，就不细研究了。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Mr.Rose

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

驱动开发：内核监控进程与线程回调

m0_56069948的博客

10-23

690

系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现，此类函数的原理是创建一个回调事件，当有进程或线程被创建或者注销时，系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用，我们则成功拦截了这次打开，当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开，那么就可以实现一个简单的防恶意程序，进程监控在防恶意程序中也是用的最多的。如上，该函数只有两个参数，第一个参数是回调函数，第二个参数是是否注销，通常在驱动退出时可以传入。

32位/64位WINDOWS驱动之遍历Process,Thread Object勾子遍历驱动模块

a756598009的博客

07-09

860

遍历成功拿到了线程回调对象。

参与评论您还未登录，请先登录后发表或查看评论

内核回调

weixin_30794491的博客

10-15

363

相对于各种HOOK的安全性、稳定性问题，我更喜欢使用回调来做各种监视虽然回调函数获取各种信息的时间偏后于先手HOOK获取各种信息的时间，而且不一定可以拦截到什么，但是这更安全。 PsSetCreateProcessNotifyRoutine 进程创建回调（它的回调运行的时候，进程应该已经被创建了，但是还没有跑起来，所以这里可以实现拦截进程创建的效果） PsSetCreat...

遍历创建进程、创建线程、加载模块的回调函数

weixin_34360651的博客

10-28

254

今天我们首先来看一下最简单的,关于遍历PspCreateProcessNotifyRoutine数组,PspLoadImageNotifyRoutine也同理这两个数组保存了两组函数地址,它们将在有进程被创建或销毁,有镜像被装载或映射入内存的时候被依次调用, 当然了这两个符号都是未导出的,而且它们的数量在xp和win7下也有所不同,xp<2k3>下最大数...

驱动开发：内核枚举进程与线程ObCall回调

热门推荐

优快云

10-22

2万+

首先我们需要定义好结构体，结构体是微软公开的，如果有其它需要请自行去微软官方去查。线程回调，之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举，本篇文章。的枚举，如果是想要输出线程句柄，则只需要替换代码中的。就可以拿到链表头结构，得到后将其解析为。代码部分的实现很容易，由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序，即可得到。运行这段驱动程序，即可得到。将教大家如何枚举系统中的。即可，修改后的代码如下。的枚举很容易，直接通过。

NtTraceControl内核回调

如鹿渴慕泉水的专栏

09-11

683

__int64 __fastcall NtTraceControl(unsigned int a1, unsigned int *a2, unsigned int a3, void *a4, unsigned int Length, _DWORD *a6) { unsigned int *v6; // r13 unsigned int v7; // er14 char *v8; // r12 _QWORD *v9; // rsi __int64 v10; // rbx __int64

精选_枚举并删除系统上PsSetCreateThreadNotifyRoutine回调_源码打包

03-11

通过这个回调，我们可以监视系统的线程创建活动，例如记录信息、实施安全策略或者进行性能分析。要使用`PsSetCreateThreadNotifyRoutine`，你需要编写一个回调函数，该函数需要遵循特定的原型。一旦回调函数被注册...

Win64 驱动内核编程-32.枚举与删除注册表回调

墨鱼菜鸡

12-18

249

枚举与删除注册表回调注册表回调是一个监控注册表读写的回调，它的效果非常明显，一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫，监控service 键的子键，实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里，...

内核模式回调机制：增强驱动响应能力的5个实用策略

在操作系统的世界里，内核模式回调机制是一种强大的功能，它允许系统在特定事件发生时调用预定义的代码，以响应这些事件。理解内核回调机制的原理对于系统程序员而言至关重要，因为这直接关系到系统性能、稳定性和...

Windows消息机制学习笔记（四）—— 内核回调机制

lzyddf的博客

06-24

1379

消息机制学习笔记（四）—— 内核回调机制要点回顾内核调用实验1：理解内核调用第一步：编译并运行以下代码第二步：修改窗口过程函数，重新运行结论KeUserModeCallback分析KeUserModeCallback 要点回顾 1）GetMessage不仅能够取出消息，还能处理SentMessagesListHead队列中的消息 2）DispatchMessage()用于处理其它队列中的消息。内核调用描述：窗口过程函数除了会在消息循环中被调用，一些0环的代码也可以直接发起调用。例如：窗口初始化时、窗口

2.内核回调机制

My classmates

11-07

2400

有谁调用了窗口过程? GetMessage()在处理SentMessagesListHead中消息时 DispatchMessage(&msg)在处理其他队列中的消息时 CreateWindow() 0环的一些代码也会调用窗口过程，但它没有发消息给队列而是直接调用窗口过程（KeUserModeCallback） NtUserCreateWindowEx()这样设计是因为，如果你程序需要...

创建进程回调

09-02

367

#include <ntddk.h> VOID UnloadDriver(PDRIVER_OBJECT pDriver); VOID CreateProcessRoutineSpy( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create ); NTSTATUS DriverEntry(PDRIVER_OB...

19043 ObRegisterCallbacks 回调的遍历和摘除

qq_41490873的博客

10-28

695

typedef struct _OB_PRE_CREATE_HANDLE_INFORMATION { _Inout_ ACCESS_MASK DesiredAccess; _In_ ACCESS_MASK OriginalDesiredAccess; } OB_PRE_CREATE_HANDLE_INFORMATION, *POB_PRE_CREATE_HANDLE_INFORMATION; typedef struct _OB_PRE_DUPLICA

驱动开发：内核注册并监控对象回调

优快云

10-24

1万+

在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程回调，本章LyShark将通过对象回调实现对进程线程的句柄监控，在内核中提供了回调，使用这个内核回调函数，可注册一个对象回调，不过目前该函数只能监控进程与线程句柄操作，通过监控进程或线程句柄，可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程，而这个监控是通过ObjectType这么一个成员控制的，如果成员是则代表监控进程，反之则是监控线程，无论监控进程还是线程都调用这个函数来完成注册。函数。

驱动开发：内核中的文件回调

优快云

11-01

1万+

无论在用户层还是内核层，操作文件的流程基本一致，除了在API函数上的区别(用户层调用用户层API，内核层调用内核API)以外其他基本一致，先讲解一下文件系统执行的流程。

系统回调介绍

weixin_34400525的博客

10-28

284

目的：遍历系统中的回调类型：与Xuetr遍历到的类型相同如有雷同，还望见谅。。。有错误或者不恰当的地方请指正。附件中代码大量冗余，可以将相同的部分写成一个函数，一开始没注意，懒得改了。。。详细实现见代码环境： WINXPSP3大量使用硬编码，本次仅在于实现我的虚拟机环境下的遍...

windbg 学习笔记 FOR 内核调试(三) --进程句柄表HANDLE_TABLE

rongwenbin的专栏

02-25

2407

想当年初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉死命在想到底内核对象 , 句柄是个什么东西干嘛用的于是我们工作室的老大就对我说这篇看过就过了学到后面你自然会明白的我想也是 , 很多时候感觉学东西的确是这样暂时看不懂的先放着过段时间再看回来就恍然大悟了 . 我前段时间又看了下核编的第三章唯一的收获就是能够大概了解到 hanle 这个所谓的索引的作