Win64 驱动内核编程-13.回调监控模块加载

Win64驱动内核编程:回调监控模块加载详解
最新推荐文章于 2024-04-08 10:34:19 发布
原创 最新推荐文章于 2024-04-08 10:34:19 发布 · 4.6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#驱动 #回调监控模块加载 #模块加载监控 #监控驱动加载 #监控模块加载

本文介绍了如何使用Windows驱动编程中的PsSetLoadImageNotifyRoutine和PsRemoveLoadImageNotifyRoutine API来监控模块(包括驱动和DLL)的加载。通过设置映像加载通告例程,可以在模块加载时触发回调函数。通过判断回调函数参数来区分驱动加载与DLL加载,若要阻止驱动加载,可通过获取驱动的DriverEntry地址并写入"拒绝访问"的机器码实现。

回调监控模块加载

    模块加载包括用户层模块(.DLL)和内核模块(.SYS)的加载。传统方法要监控这两者加在必须 HOOK 好几个函数,比如 NtCreateSection 和 NtLoadDriver

等,而且这些方法还不能监控未知的驱动加载方法。其实为了监控模块加载而HOOK API 是非常傻的,因为微软已经提供了一对标准的 API 实现此功能。它们

分别是 PsSetLoadImageNotifyRoutine 和 PsRemoveLoadImageNotifyRoutine可以设置/取消一个“映像加载通告例程”,当有驱动或者 DLL 被加载时,回调函

数就会被调用。有人可能认为这个标准方法的监控非常表层,其实恰恰相反,这个方法非常底层,大部分隐秘的加载驱动的方法都可以绕过 

最低0.47元/天 解锁文章
内核tracepoint的注册回调及添加的方法
zhaoxin1989的博客
11-11 1733
自定义tracepoint,内核里和内核外的模块使用tracepoint
滴水三期逆向基础系列(五)-解析重定位表
henuyl的博客
04-28 474
很简单,直接贴代码吧 主要要注意RVA转FOA!!! VOID ReturnAllRelocation( IN LPVOID pFileBuffer ){ if(pFileBuffer == NULL){ return; } PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS64 inh = NULL; PIMAGE_OPTI...
驱动加载监控x86
zhuhuibeishadiao
04-10 1200
Hook_ZwLoadDriver HOOK_ZwSetSystemInformation NTSTATUS NTAPI HOOK_NtSetSystemInformation ( IN ULONG SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength )
Win64 驱动内核编程-12.回调监控进线程创建和退出
天使也掉毛
03-12 4276
回调监控进线程创建和退出     两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分别对应的回调函数类型: VOID MyCreateProcessNotify ( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEA
内核调试工具ftrace
塔通天的博客
05-16 6825
文章目录1、ftrace基本介绍2、基本用法2.1、实例演示2.2、结构展示 1、ftrace基本介绍 ftrace 的作用是帮助开发人员了解 Linux 内核的运行时行为,以便进行故障调试或性能分析。 最早 ftrace 是一个 function tracer,仅能够记录内核的函数调用流程。如今 ftrace 已经成为一个 framework,采用 plugin 的方式支持开发人员添加更多种类的 trace 功能。 2、基本用法 首先编译内核,使内核支持ftrace。 通过以上配置,使得内核支持ftr
驱动加载监控
kernweak的博客
05-31 1844
Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp) Hook_ZwLoadDriver( IN PUNICODE_STRING DriverServiceName )//服务名,在注册表 所以要在注册表改驱动ImagePath看驱动路径。 注意通过instrDrv加载驱动不一定看到的是原本加载驱动的文件,是通信方式加载驱动,在ZwLoadD...
监控模块加载
qq_41490873的博客
08-27 361
#include <ntifs.h> #include<ntddk.h> NTKERNELAPI PUCHAR PsGetProcessImageFileName( IN PEPROCESS Process ); VOID LoadImageRoutine( _In_ PUNICODE_STRING FullImageName, _In_ HANDLE ProcessId, // pid into which image is being mappe
WIN64驱动编程基础教程
12-06
|-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5....
全面解析WIN64驱动编程内核级技术
### WIN64驱动编程基础教程知识点详解 #### 0.基础的基础 ##### 学习WIN64驱动开发的...以上内容构成了WIN64驱动编程的基础,涵盖了从入门到高级的多个层面,是深入了解和学习Windows内核编程不可或缺的知识体系。
驱动开发教程
05-07
|-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5....
内核调试工具 — kdump & crash
StevenYang2008的博客
07-08 1246
1. kdump简介 kdump是系统崩溃的时候,用来转储运行内存的一个工具。 系统一旦崩溃,内核就没法正常工作了,这个时候将由kdump提供一个用于捕获当前运行信息的内核,该内核会将此时内存中的所有运行状态和数据信息收集到一个dump core文件中以便之后分析崩溃原因。一旦内存信息收集完成,可以让系统将自动重启。 kdump是RHEL5之后才支持的,2006被主线接收为内核的一部分。它的原理简单来说是在内存中保留一块区域,这块区域用来存放capture kernel,当production kernel
基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块(卸载DLL、EXE和sys等加载
苞米地里捉小鸡的博客
09-21 4398
背景 对于内核层实现监控模块加载,包括加载DLL模块内核模块等。你也许会想到 HOOK 各种内核函数来实现。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核监控用户层上模块加载的情况,即 PsSetLoadImageNotifyRoutine 内核函数,可以设置一个回调函数,来监控监控模块加载。 现在,本文就使用 PsSetLoadI
Windows消息机制学习笔记(四)—— 内核回调机制
lzyddf的博客
06-24 1467
消息机制学习笔记(四)—— 内核回调机制要点回顾内核调用实验1:理解内核调用第一步:编译并运行以下代码第二步:修改窗口过程函数,重新运行结论KeUserModeCallback分析KeUserModeCallback 要点回顾 1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列中的消息 2)DispatchMessage()用于处理其它队列中的消息。 内核调用 描述:窗口过程函数除了会在消息循环中被调用,一些0环的代码也可以直接发起调用。 例如:窗口初始化时、窗口
Linux内核调试工具之Kprobes简单使用
最新发布
DD'Notes
04-08 1100
Linux内核调试工具之Kprobes简单使用上次看了下Kprobes的相关概念:Linux内核调试工具之Kprobes相关概念,这里看看它的简单使用 配置Kprobes内核需要打开以下配置: CONFIG_KPROBES = y #保证能加载和卸载基于Kprobes的模块 CONFIG_MODULES = y CONFIG_MODULE_UNLOAD = y #kprobes例子:内核源码/samples/kprobes/kprobe_example.c。Linux内核调试工具之Kprobes简单使用。
图解使用PowerTool对Windows内核做初步研究探索
bcbobo21cn的专栏
05-04 5513
PowerTool下载 http://pan.baidu.com/s/1skZx4TZ PowerTool_1.6_PortableSoft.7z 1 系统检测 自动检测了如下安全项; 有个 流氓快捷方式 项 顽固桌面图标删不掉3种办法: 1、桌面上点鼠标右键-排列图标-运行桌面图标清理向导-选择要清理的图标-点下一步就可以了 2.如果有360安全卫士,可以尝试
PowerTool x64驱动模块逆向分析(持续更新)
weixin_30784945的博客
05-23 663
比赛打完了,来继续搞了,因为那个主动防御正在写,所以想找找思路正好想到可以来逆向一下PT的驱动模块看看pt大大是怎么写的程序。 PT x64版本的驱动模块是这个kEvP64.sys。 0x0 先来看看DriverEntry 1 //IDA伪代码 2 __int64 __fastcall sub_3A010(struct _DRIVER_OBJECT *a1, __int64 ...
解决电脑“自动修复 电脑未正确启动/无法修复你的电脑”
热门推荐
q1398488953的博客
02-14 3万+
那些让重装系统或是进安全模式的网上很多我就不再赘述了,这里主要讲一下驱动方面的问题。我找了很多,发现相当大一部分人跟我是一个问题,都是某个驱动有问题,但是没有一个具体的、总结的答案,在这里和大家分享一下。 1、试试“禁止驱动强制签名”能不能进入桌面 在“疑难解答”->“高级选项”->“启动模式”中选择“禁止驱动强制签名”,如果这样能正常开启,那么就说明是某个驱动的问题 2、把错误驱动...
powertool 使用学习总结
bcbobo21cn的专栏
07-30 7410
简介  PowerTool是一款免费的系统分析,手动杀毒工具。这款内核级的手动杀毒辅助工具,能帮助你找出病毒 木马在你的电脑中动过的手脚,并去除病毒设下的机关。目前具备以下功能:系统修复、进程管理、内 核模块内核相关、钩子、应用层、文件、注册表、离线分析、启动项、系统服务、网络链接、漏洞修 复等。    PowerTool 的特色在于它能够获取较高权限,
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值