Win64 驱动内核编程-14.回调监控文件

最新推荐文章于 2022-10-28 09:08:20 发布
原创 最新推荐文章于 2022-10-28 09:08:20 发布 · 3.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#驱动 #回调监控文件 #文件保护

本文介绍了如何利用Win64驱动的ObRegisterCallbacks函数实现文件操作监控,特别是在Win7 x64系统上的应用。在Win7 x64上可以直接注册回调,而在Win8 x64及更高版本系统中,修改对象结构会触发PATCHGUARD,但作者实测发现仍可能成功执行回调。由于文件回调可能导致问题,建议采用成熟的文件过滤框架。在使用时需要进行特定标记的修改以允许无签名注册,并调整对象结构。

回调监控文件

    使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视。但可惜只能在 WIN7X64 上用。因为在 WIN7X64 上 PATCH 对象结构的成员(ObjectType->TypeInfo.SupportsObjectCallbacks)是合法的,在 WIN8X64 以及之后系统上会触发 PATCHGUARD。但是经过实际测试,我手里的Win7 64 是可以在不修改myobtype->TypeInfo.SupportsObjectCallbacks = 1;的前提下直接注册回调,但是win8 64不行,win8 64 修改了myobtype->TypeInfo.SupportsObjectCallbacks = 1;之后发现没有蓝屏并且目前可以成功进行回调处理(只测试了手里的一台win8 64)。文件回调容易出问题,频率非常高。使用的时候建议使用成熟的文件过滤框架。

使用的时候和进程线程的回调句柄处理一样,需要修改标记使得无签名可以正常注册回调,然后在修改文件的myobtype->TypeInfo.SupportsObjectCallbacks = 1;然后在进行回调注册就行了。

注册:
// init callbacks
OB_CALLBACK_REGISTRATION obReg;
OB_OPERATION_REGISTRATION opReg;
memset(&obReg, 0, sizeof(obReg));
obReg.Version = ObGetFi
最低0.47元/天 解锁文章
Win64 驱动内核编程-13.回调监控模块加载
墨鱼菜鸡
12-18 245
回调监控模块加载 模块加载包括用户层模块(.DLL)和内核模块(.SYS)的加载。传统方法要监控这两者加在必须HOOK好几个函数,比如NtCreateSection和NtLoadDriver 等,而且这些方法还不能监控未知的驱动加载方法。其实为了监控模块加载而HOOKAPI是非常傻的...
驱动开发:内核中的文件回调
热门推荐
优快云
11-01 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。
驱动开发:内核监控FileObject文件回调
优快云
10-28 7876
以此来实现对文件监控文件过滤驱动不仅仅可以用来监控文件的打开,还可以用它实现对文件保护,一旦驱动加载则文件是不可被删除和改动的。开关,并定义一些微软结构,如下是我们所需要的公开结构体,可在微软官方或WinDBG中获取到最新的,将其保存为。运行这个驱动程序,当系统中有新文件被加载时则自动输出该文件所属进程PID以及该文件的详细路径。属性的驱动来说自然就支持文件路径转换,当系统中有文件被加载则自动执行。与进程线程回调有少许的不同,文件回调需要开启驱动的。文章中使用的方法是一致的,首先判断。
驱动开发:对象回调监控文件访问
优快云
10-14 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。实现文件监控呢,比如当文件被访问时自动触发回调,看如下代码实现方式。那么如何实现文件监控呢,比如当文件被访问时自动触发回调,看如下代码实现方式。
驱动开发:内核监视LoadImage映像回调
优快云
10-25 9969
映像监视,当有模块被系统加载时则可以第一时间获取到加载模块信息,需要注意的是该回调函数内无法进行拦截,如需要拦截则需写入返回指令这部分内容将在下一章进行讲解,本章将主要实现对模块的监视功能。监视模块加载与卸载需要费别使用两个函数,这两个函数的参数传递都是自己的回调地址。那么如何实现监视映像加载呢,来看如下完整代码片段,首先。运行这个驱动程序,则会输出被加载的驱动详细参数。将带大家继续探索一个新的回调注册函数,注册回调,当有模块被加载则自动执行。得出是什么类型的模块,然后再通过。回调,并通过该回调实现了。
注册表操作监控x86
zhuhuibeishadiao
04-10 792
Hook_ZwSetValueKey
Win64 驱动内核编程-11.回调监控进线程句柄操作
墨鱼菜鸡
12-18 245
无HOOK监控进线程句柄操作 在NT5平台下,要监控进线程句柄的操作。 通常要挂钩三个API:NtOpenProcess、NtOpenThread、NtDuplicateObject。但是在VISTASP1以及之后的系统中,我们可以完全抛弃HOOK方案了,转而使用一个标准...
Win64 驱动内核编程-15.回调监控注册表
墨鱼菜鸡
12-18 365
回调监控注册表 在WIN32平台上,监控注册表的手段通常是SSDTHOOK。不过用SSDTHOOK 的方式监控注册表实在是太麻烦了,要HOOK一大堆函数,还要处理一些NT6系统有而NT5系统没有的函数。下面我就来介绍一种完胜SSDTHOOK监控注册表的方法,效果跟S...
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9545
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
驱动级杀进程易语言源码
12-15
易语言驱动级杀进程源码带驱动,除驱动外还有N种方法,都是在没有恢复SSDT下完成的.如果恢复了SSDT,进程就像豆腐般脆弱.
总结一下ObRegisterCallbacks绕过
zhuhuibeishadiao
10-18 5876
1.物理Section Map到用户空间 解析物理地址操作内存 2.修改PsProcessType/PsThreadType下_OBJECT_TYPE_INITIALIZER下RetainAccess为0x1fffff 无视抹权限 原理见ObpPreInterceptHandleCreate ObpPreInterceptHandleCreate(PVOID Object, unsigned _...
ObRegisterCallbacks返回0xC0000022(拒绝访问)解决方案
yufengly1984的专栏
10-18 2882
https://bbs.pediy.com/thread-140891.htm 首先尊重原创 最近写驱动,发现ObRegisterCallbacks这个总是函数调用不成功,在网上查了一下,发现使用这个函数对驱动有特殊的要求,必须使用特殊的签名才行!否则这个函数会返回0xC0000022(拒绝访问),逆向此函数可以看到以下是有关是否加签名的判断, PAGE:00000001404AA75D 
Win764位系统下使用ObRegisterCallbacks内核函数来实现进程保护
r250414958的博客
11-16 1045
先发代码 参考了: https://bbs.pediy.com/thread-200048.htm forwardbob https://bbs.pediy.com/thread-168023-1.htm tianhz http://www.cnblogs.com/aliflycoris/p/5468175.html LycorisGuard 这三位大牛的代码以及原理 #ifndef C...
驱动编程:注册表回调,进程回调文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 2560
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
基于ObRegisterCallbacks实现的线程和进程监控及其保护
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
02-23 4161
要实现监控系统线程和进程,并实现对指定线程和进程的保护,在 32 位系统上可以使用 HOOK 技术,HOOK 相关的函数来实现。但是,到了 64 位平台上,就不能继续按常规的 HOOK 方法去实现了。 好在 Windows 给我们提供了 ObRegisterCallbacks 内核函数来注册系统回调,可以用来注册系统线程回调监控系统的线程创建、退出等情况,而且还能进行控制;也可以用来注册系统进程回调,可以监控系统的进程创建、退出等情况,而且也能进行控制。这使得我们实现保护指定线程、进程不被结束,提供了可
Win7x64通过ObCallback过滤文件、命名管道创建和打开
Sven的忘却日记
05-11 984
测试了win7x64win8x64,可以正常过滤命名管道。 也可以通过替换npfs驱动的dispatch入口函数来做。 #include <ntifs.h> #include <ntddk.h> struct ThreadData { ULONG ThreadId; int Priority; }; #define PRIORITY_BOOSTER_DEVICE 0X8000 #define IOCTL_PRIORITY_BOOSTER_SET_PRIORITY CT
Windows系统通用回调
做一个快乐学习者
06-29 2814
本文将针对Windows操作系统所提供系统回调操作做逐一分析,以了解每个回调所能达成什么样的功能及效果。比如部分回调只是用于通知,我们只能通过此回调来了解某一类型事件的发生,只能做审计,拦截动作需要通过其它途径实现;也有回调可以实现即时拦截,通过回调即可阻止恶意程序的攻击企图。 Windows系统在内核及应用层均有提供回调机制,下面分为两部分作介绍: 1 内核回调 内核回调机制 OS版本 功能描述 备注 PsSetCreateProcessNotifyRoutine
教你在64Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
whatday的专栏
10-31 1万+
我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题: (1)怎么样在64位的Windows7操作系统下实现进程保护?  (2)我在网络上搜索了很多天,我根本就找不到64位进程保护的文章啊! (3)公司的项目很急,领导让我实现64位系统下的进程保护,这要怎么做啊? (4)
全面解析WIN64驱动编程内核级技术
通过对象回调的方式监控文件访问是一种技术手段,允许驱动程序在文件被打开、关闭等事件发生时得到通知。无HOOK监控网络访问和修改时间也是安全监控的重要方面。 #### 5.零散内容 ##### 驱动里实现内嵌汇编 在某些...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值