Win64 驱动内核编程-11.回调监控进线程句柄操作

最新推荐文章于 2023-12-04 11:27:25 发布
原创 最新推荐文章于 2023-12-04 11:27:25 发布 · 5.2k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#驱动 #回调监控进线程句柄操作 #进程保护

本文介绍了在NT5及Vista SP1后的系统中,如何无HOOK地监控线程句柄操作,特别是通过使用ObRegisterCallbacks函数。该函数在Win64驱动中尤其有用,尽管存在签名限制,但可以通过逆向工程找到解决方法。文章提供了一个简单的破解示例,并展示了如何实现进程和线程的回调函数,以保护特定进程(如CALC.EXE)不被结束。

HOOK监控进线程句柄操作

         

        在 NT5 平台下,要监控进线程句柄的操作。

  通常要挂钩三个APINtOpenProcessNtOpenThreadNtDuplicateObject。但是在 VISTA SP1 以及之后的系统中,我们可以完全抛弃 HOOK 方案了,转而使用一个标准的 APIObRegisterCallbacks。下面做一个监视进线程句柄操作的程序,并实现保护名为 CALC.EXE 的进程不被结束。


    首先介绍一下 ObRegisterCallbacks 这个函数。此函数的前缀是Ob,看得出它是属于对象管理器的函数,Register 是注册,Callba

最低0.47元/天 解锁文章
Win64 驱动内核编程-12.回调监控进线创建和退出
天使也掉毛
03-12 4275
回调监控进线创建和退出     两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线回调分别对应的回调函数类型: VOID MyCreateProcessNotify ( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEA
windows环境下的自保护探究
hongduilanjun的博客
09-14 1601
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
windows内核-保护进程(五)
最新发布
rosykee的专栏
12-04 1479
通过 ObRegisterCallbacks 实现进程读写保护
驱动开发:内核枚举进程与线ObCall回调
热门推荐
优快云
10-22 2万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动序,即可得到。运行这段驱动序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
win7x64下实现进程保护
操作系统内核与逆向工程
06-05 1万+
以前没有PG的时候,相信绝大部分人都是用的SSDT HOOK 来进行进程保护的。等有了PG该怎么办呢?答案就是用微软提供的 ObRegisterCallbacks 函数。 NTSTATUSObRegisterCallbacks ( _In_ POB_CALLBACK_REGISTRATION CallbackRegistration, _Outptr_ PVOID *Regi
Win64 驱动内核编程-14.回调监控文件
墨鱼菜鸡
12-18 293
回调监控文件 使用ObRegisterCallbacks实现保护进程,其实稍微PATCH下内核,这个函数还能实现文件操作监视。但可惜只能在WIN7X64上用。因为在WIN7X64上PATCH对象结构的成员(ObjectType->TypeInfo.SupportsObje...
Win64 驱动内核编程-32.枚举与删除注册表回调
墨鱼菜鸡
12-18 352
枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,...
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 9749
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
2023驱动保护学习 -- 通过驱动保护进程
Web安全工具库
03-28 631
1、头文件源码,把涉及到的进程权限的常量值都添加进去。4、卸载驱动的时候卸载内存保护
驱动保护隐藏.ec
08-08
易语言辅助必备驱动保护模块 代码公开 透明 绝无暗装之类 ------------------------------ .版本 2 .序 关闭保护辅助进程, 逻辑型, 公开, 取消禁止结束并保护.参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .序 关闭防各类调试, 逻辑型, 公开, 取消结束并保护.参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .序 开启保护辅助进程, 逻辑型, 公开, 可禁止他人有意结束某序,并保护序不被注入,打开序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .序 开启防各类调试, 逻辑型, 公开, 可禁止他人有意,用CE,VE,ME,GE,内存工具和WPE等序,打开序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .序 隐藏模块, 逻辑型, 公开, 隐藏模块 (GetModuleHandle (“隐藏.dll”)) .参数 模块基地址, 整数型 .序 郁金香取消隐藏进程, 逻辑型, 公开, 取消隐藏进程 暂时无法取消隐藏 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用进程_名取ID()获取进程ID, .序 郁金香隐藏进程, 逻辑型, 公开, 隐藏进程,,支持32位,和64WIn7,与所有系统请自行测试 .参数 进程ID, 整数型, 可空, 可空,默认隐藏自身,可用进程_名取ID()获取进程ID, .序 置格盘陷阱, 逻辑型, 公开 .序 置蓝屏陷阱, 逻辑型, 公开, 利用蓝屏代码 绝对值蓝屏 .序 置死机陷阱, 逻辑型, 公开 .序 置重启陷阱, 逻辑型, 公开, 绝对值重启 .DLL命令 GetModuleHandle, 整数型, "kernel32", "GetModuleHandleA", 公开 .参数 lpModuleName, 文本型 .DLL命令 RtlMoveMemory, 整数型, , "RtlMoveMemory", 公开, _写内存3 .参数 dest, 整数型, 传址 .参数 Source, 整数型 .参数 len, 整数型, , 4
X64下利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 6276
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
某超级注入序的驱动逆向
被遗弃的庸才博客
11-05 3047
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
驱动开发:内核注册并监控对象回调
优快云
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线回调,本章LyShark将通过对象回调实现对进程线句柄监控,在内核中提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线句柄操作,通过监控进程或线句柄,可实现保护指定进程线不被终止的目的。由于目前对象回调只能监控进程与线,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线,无论监控进程还是线都调用这个函数来完成注册。函数。
_LDR_DATA_TABLE_ENTRY结构体
weixin_41693985的博客
12-22 1541
_LDR_DATA_TABLE_ENTRY结构体
对象回调实现进程保护
Cosmopolitan的博客
10-08 1183
#include <ntddk.h> #define PROCESS_TERMINATE 1 #define PROCESS_VM_OPERATION 0x0008 #define PROCESS_VM_READ 0x0010 #define PROCESS_VM_WRITE 0x0020 typedef struct _L...
x64进程保护HOOK
weixin_30399797的博客
07-24 649
目录 x64(32)下的进程保护回调. 一丶进程保护线保护 1.简介以及原理 1.2 代码 1.3注意的问题 二丶丶回调函数写法 2.1 遇到的问题. 2.2 回调代码 ...
windows驱动 - 进程回调
qq726232111的博客
12-29 1269
0x00 函数 ObRegisterCallbacks() //为线进程和桌面句柄操作注册回调列表 ObUnRegisterCallbacks() //卸载回调的注册 0x01 代码 //打印哪些进程操作notepad进程句柄 #include <wdm.h> PCHAR PsGetProcessImageFileName(PEPROCESS Process); #define ProcessName "cmd" typedef struct _LDR_DATA_T..
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值