Win64 驱动内核编程-14.回调监控文件

最新推荐文章于 2022-10-28 09:08:20 发布
最新推荐文章于 2022-10-28 09:08:20 发布
阅读量3.8k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 驱动内核编程 文章标签: 驱动 回调监控文件 文件保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013761036/article/details/61616168
本文介绍了如何利用Win64驱动的ObRegisterCallbacks函数实现文件操作监控,特别是在Win7 x64系统上的应用。在Win7 x64上可以直接注册回调,而在Win8 x64及更高版本系统中,修改对象结构会触发PATCHGUARD,但作者实测发现仍可能成功执行回调。由于文件回调可能导致问题,建议采用成熟的文件过滤框架。在使用时需要进行特定标记的修改以允许无签名注册,并调整对象结构。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

回调监控文件

    使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视。但可惜只能在 WIN7X64 上用。因为在 WIN7X64 上 PATCH 对象结构的成员(ObjectType->TypeInfo.SupportsObjectCallbacks)是合法的,在 WIN8X64 以及之后系统上会触发 PATCHGUARD。但是经过实际测试,我手里的Win7 64 是可以在不修改myobtype->TypeInfo.SupportsObjectCallbacks = 1;的前提下直接注册回调,但是win8 64不行,win8 64 修改了myobtype->TypeInfo.SupportsObjectCallbacks = 1;之后发现没有蓝屏并且目前可以成功进行回调处理(只测试了手里的一台win8 64)。文件回调容易出问题,频率非常高。使用的时候建议使用成熟的文件过滤框架。

使用的时候和进程线程的回调句柄处理一样,需要修改标记使得无签名可以正常注册回调,然后在修改文件的myobtype->TypeInfo.SupportsObjectCallbacks = 1;然后在进行回调注册就行了。

注册:
// init callbacks
OB_CALLBACK_REGISTRATION obReg;
OB_OPERATION_REGISTRATION opReg;
memset(&obReg, 0, sizeof(obReg));
obReg.Version = ObGetFi
最低0.47元/天 解锁文章

200万优质内容无限畅学
Win64 驱动内核编程-13.回调监控模块加载
墨鱼菜鸡
12-18 221
回调监控模块加载 模块加载包括用户层模块(.DLL)和内核模块(.SYS)的加载。传统方法要监控这两者加在必须HOOK好几个函数,比如NtCreateSection和NtLoadDriver 等,而且这些方法还不能监控未知的驱动加载方法。其实为了监控模块加载而HOOKAPI是非常傻的...
驱动开发:内核中的文件回调
热门推荐
优快云
11-01 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。
驱动开发:内核监控FileObject文件回调
优快云
10-28 7761
以此来实现对文件监控文件过滤驱动不仅仅可以用来监控文件的打开,还可以用它实现对文件保护,一旦驱动加载则文件是不可被删除和改动的。开关,并定义一些微软结构,如下是我们所需要的公开结构体,可在微软官方或WinDBG中获取到最新的,将其保存为。运行这个驱动程序,当系统中有新文件被加载时则自动输出该文件所属进程PID以及该文件的详细路径。属性的驱动来说自然就支持文件路径转换,当系统中有文件被加载则自动执行。与进程线程回调有少许的不同,文件回调需要开启驱动的。文章中使用的方法是一致的,首先判断。
驱动开发:对象回调监控文件访问
优快云
10-14 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。实现文件监控呢,比如当文件被访问时自动触发回调,看如下代码实现方式。那么如何实现文件监控呢,比如当文件被访问时自动触发回调,看如下代码实现方式。
驱动开发:内核监视LoadImage映像回调
优快云
10-25 9929
映像监视,当有模块被系统加载时则可以第一时间获取到加载模块信息,需要注意的是该回调函数内无法进行拦截,如需要拦截则需写入返回指令这部分内容将在下一章进行讲解,本章将主要实现对模块的监视功能。监视模块加载与卸载需要费别使用两个函数,这两个函数的参数传递都是自己的回调地址。那么如何实现监视映像加载呢,来看如下完整代码片段,首先。运行这个驱动程序,则会输出被加载的驱动详细参数。将带大家继续探索一个新的回调注册函数,注册回调,当有模块被加载则自动执行。得出是什么类型的模块,然后再通过。回调,并通过该回调实现了。
注册表操作监控x86
zhuhuibeishadiao
04-10 778
Hook_ZwSetValueKey
Win64 驱动内核编程-11.回调监控进线程句柄操作
墨鱼菜鸡
12-18 214
无HOOK监控进线程句柄操作 在NT5平台下,要监控进线程句柄的操作。 通常要挂钩三个API:NtOpenProcess、NtOpenThread、NtDuplicateObject。但是在VISTASP1以及之后的系统中,我们可以完全抛弃HOOK方案了,转而使用一个标准...
Win64 驱动内核编程-15.回调监控注册表
墨鱼菜鸡
12-18 251
回调监控注册表 在WIN32平台上,监控注册表的手段通常是SSDTHOOK。不过用SSDTHOOK 的方式监控注册表实在是太麻烦了,要HOOK一大堆函数,还要处理一些NT6系统有而NT5系统没有的函数。下面我就来介绍一种完胜SSDTHOOK监控注册表的方法,效果跟S...
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9462
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
驱动级杀进程易语言源码
12-15
易语言驱动级杀进程源码带驱动,除驱动外还有N种方法,都是在没有恢复SSDT下完成的.如果恢复了SSDT,进程就像豆腐般脆弱.
总结一下ObRegisterCallbacks绕过
zhuhuibeishadiao
10-18 5755
1.物理Section Map到用户空间 解析物理地址操作内存 2.修改PsProcessType/PsThreadType下_OBJECT_TYPE_INITIALIZER下RetainAccess为0x1fffff 无视抹权限 原理见ObpPreInterceptHandleCreate ObpPreInterceptHandleCreate(PVOID Object, unsigned _...
ObRegisterCallbacks返回0xC0000022(拒绝访问)解决方案
yufengly1984的专栏
10-18 2802
https://bbs.pediy.com/thread-140891.htm 首先尊重原创 最近写驱动,发现ObRegisterCallbacks这个总是函数调用不成功,在网上查了一下,发现使用这个函数对驱动有特殊的要求,必须使用特殊的签名才行!否则这个函数会返回0xC0000022(拒绝访问),逆向此函数可以看到以下是有关是否加签名的判断, PAGE:00000001404AA75D 
Win764位系统下使用ObRegisterCallbacks内核函数来实现进程保护
r250414958的博客
11-16 1017
先发代码 参考了: https://bbs.pediy.com/thread-200048.htm forwardbob https://bbs.pediy.com/thread-168023-1.htm tianhz http://www.cnblogs.com/aliflycoris/p/5468175.html LycorisGuard 这三位大牛的代码以及原理 #ifndef C...
WDK驱动开发之路——进程回调
AuddyTab的博客
11-22 622
#include <wdm.h> PVOID _HANDLE = NULL; typedef struct _LDR_DATA_TABLE_ENTRY { // Start from Windows XP LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID DllBase; PVOID .
教你在64Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
whatday的专栏
10-31 1万+
我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题: (1)怎么样在64位的Windows7操作系统下实现进程保护?  (2)我在网络上搜索了很多天,我根本就找不到64位进程保护的文章啊! (3)公司的项目很急,领导让我实现64位系统下的进程保护,这要怎么做啊? (4)
Win7x64通过ObCallback过滤文件、命名管道创建和打开
Sven的忘却日记
05-11 955
测试了win7x64win8x64,可以正常过滤命名管道。 也可以通过替换npfs驱动的dispatch入口函数来做。 #include <ntifs.h> #include <ntddk.h> struct ThreadData { ULONG ThreadId; int Priority; }; #define PRIORITY_BOOSTER_DEVICE 0X8000 #define IOCTL_PRIORITY_BOOSTER_SET_PRIORITY CT
Windows系统通用回调
做一个快乐学习者
06-29 2730
本文将针对Windows操作系统所提供系统回调操作做逐一分析,以了解每个回调所能达成什么样的功能及效果。比如部分回调只是用于通知,我们只能通过此回调来了解某一类型事件的发生,只能做审计,拦截动作需要通过其它途径实现;也有回调可以实现即时拦截,通过回调即可阻止恶意程序的攻击企图。 Windows系统在内核及应用层均有提供回调机制,下面分为两部分作介绍: 1 内核回调 内核回调机制 OS版本 功能描述 备注 PsSetCreateProcessNotifyRoutine
关于Win7 x64下过TP保护(内核层)(转)
weixin_30819085的博客
07-21 705
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了。在他的教程里我学到了不少东西。第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护。如果有讲错的地方,还望指出。说不定我发帖后一星期TP就会大更新呢。打字排版好辛苦。先说说内核层,看大家的反应后再说说应用层的保护。(包括解决CE非法问题)调试对象:DXF调试工具:OD、Windbg调试环境:Win7 SP1 X64...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值