Win64 驱动内核编程-33.枚举与删除对象回调

最新推荐文章于 2025-03-25 18:31:37 发布
最新推荐文章于 2025-03-25 18:31:37 发布
阅读量5.4k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: 驱动内核编程 文章标签: 驱动 枚举与删除对象回调 宋孖健 13
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013761036/article/details/69062500
本文介绍了Windows 64位驱动中对象回调的存储位置和枚举方法,重点关注了存在于 ObjectType.CallbackList 的双向链表。文章详细分析了_WIN7X64_环境下_OBJECT_TYPE 结构体,并提供了逆向得出的_OB_CALLBACK_结构体定义。作者还分享了在枚举过程中如何使用ObUnRegisterCallbacks以及通过修改回调函数地址来管理回调的三种方法,并提醒在禁用回调时要遵循先PostCall后PreCall的顺序,以免导致系统崩溃。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

枚举与删除对象回调

    对象回调存储在对应对象结构体里,简单来说,就是存储在 ObjectType. CallbackList 这

个双向链表里。但对象结构体在每个系统上都不一定相同。比如 WIN7X64 的结构体如下:

ntdll!_OBJECT_TYPE

+0x000 TypeList : _LIST_ENTRY

+0x010 Name : _UNICODE_STRING

+0x020 DefaultObject : Ptr64 Void

+0x028 Index : UChar

+0x02c TotalNumberOfObjects : Uint4B

+0x030 TotalNumberOfHandles : Uint4B

+0x034 HighWaterNumberOfObjects : Uint4B

+0x038 HighWaterNumberOfHandles : Uint4B

+0x040 TypeInfo : _OBJECT_TYPE_INITIALIZER

+0x0b0 TypeLock : _EX_PUSH_LOCK

+0x0b8 Key : Uint4B

+0x0c0 CallbackList : _LIST_ENTRY

 

Object.CallbackList->FLink 指向的地址,是一个结构体链表,它的定义如下:

 

typedef struct _OB_CALLBACK

{

LIST_ENTRY  ListEntry;

ULONG64 Unknown;

ULONG64 ObHandle;

ULONG64 ObjTypeAddr;

ULONG64 PreCall;

ULONG64 PostCall;

} OB_CALLBACK, *POB_CALLBACK

 

微软没有公开这个结构体的定义,这个结构体是资料作者逆向出来的。但是至少在 WIN7、WIN8和 WIN8.1 上通用。知道了结构体的定义,枚举就方便了(WINDOWS 目前仅有进程对象回调和线程对象回调,但就算以后有了其它回调,也是通用的):

 


                

        

    

  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
Win64 驱动内核编程-32.枚举删除注册表回调

				
			

			

				

					墨鱼菜鸡
				

				

					12-18
					
					242
					
				

			

		

		

			
				
枚举删除注册表回调

注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service

键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,...

			
		

	



                

            
              



	

		

			

				
					
Win64 驱动内核编程-31.枚举删除映像回调

				
			

			

				

					墨鱼菜鸡
				

				

					12-18
					
					120
					
				

			

		

		

			
				
枚举删除映像回调

  映像回调可以拦截RING3和RING0的映像加载。某些游戏保护会用此来拦截黑名单中的驱动加载,比如XUETR、WIN64AST的驱动。同理,在反游戏保护的过程中,也可以拦截游戏驱动的加载。

  跟进程/线程回调类似,映像回调也存储在数组里。这个数组的“符号名”...

			
		

	



              


  
              

                


	

		

			

				
					
CheekyBlinder:使用已签名的易受攻击的驱动程序枚举删除内核回调

				
			

			

				

					03-21
				

			

		

		

			
				
厚脸皮
更新以包括图像加载和线程创建回调。
随附的博客文章:  : 
 TL:DR
防病毒和端点检测响应产品使用内核回调来获得系统事件的可见性,例如:
流程创建
载入图片(exe / dll)
线程创建
档案建立
注册表修改
对象创建
以管理员身份输入内核内存不被视为安全边界,但是如何解决呢?
驱动程序可以自由访问内核内存以执行其任务。存在易受攻击的驱动程序,它们允许完整的内核内存读/写操作。该程序是一个概念证明,它允许使用经过签名的易受攻击的MSI驱动程序枚举和修改其中一些内核回调。这可用于查看和删除端点安全产品使用的遥测源,从而导致这些产品的盲目性。
目前,Windows 1909/2004仅支持以下回调:
载入图像
线程创建
流程创建
注册表修改(目前只读)
未来的更新旨在包括:
注册表修改(写)
对象创建
Minifilter回调(文件创建/修改等)
可以从下载易受攻击的驱动程序

			
		

	





	

		

			

				
					
TP保护机制

				
			

			

				

					08-22
				

			

		

		

			
				
分解分析TP做的保护,需要一定的基础,没基础的注意。

			
		

	



		

			
		



	

		

			

				
					
【C++】回调函数和回调对象

					
最新发布

				
			

			

				

					csdnabcaq的博客
				

				

					03-25
					
					394
					
				

			

		

		

			
				
【代码】【C++】回调函数和回调对象

			
		

	





	

		

			

				
					
ObjectType_Callback探索

				
			

			

				

					若面朝大海边竹妮春暖花开的博客
				

				

					02-28
					
					1294
					
				

			

		

		

			
				
使用PCHunter工具查看object钩子时发现有一种Hook是ObjectType_Callback,Object类型为Process

WRK中的全局类型对象变量中没有这一类型
查看ObTypeIndexTable表,对比有HOOK和无HOOk的情况下,看元素是否有增加,如果是自创类型,在这个表里,应该有增加一项
ObTypeIndexTable在XP系统中不存在,前两项是无效的
当有HOO...

			
		

	





	

		

			

				
					
驱动开发:内核枚举进程线程ObCall回调

					
热门推荐

				
			

			

				

					优快云
				

				

					10-22
					
					2万+
					
				

			

		

		

			
				
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。

			
		

	





	

		

			

				
					
Win64 驱动内核编程-30.枚举删除线程回调

				
			

			

				

					天使也掉毛
				

				

					04-04
					
					4659
					
				

			

		

		

			
				
枚举删除线程回调

  进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。

我们注册的进程回调,会存储在一个名为PspCreateProc...

			
		

	





	

		

			

				
					
Win10遍历句柄表+修改权限过Callback保护

				
			

			

				

					xlaomlng的博客
				

				

					05-26
					
					3792
					
				

			

		

		

			
				
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html
本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。
感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。
正篇:
XP 和 Win7 上关于句柄表的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...

			
		

	





	

		

			

				
					
总结一下ObRegisterCallbacks绕过

				
			

			

				

					zhuhuibeishadiao
				

				

					10-18
					
					5718
					
				

			

		

		

			
				
1.物理Section Map到用户空间 解析物理地址操作内存
2.修改PsProcessType/PsThreadType下_OBJECT_TYPE_INITIALIZER下RetainAccess为0x1fffff
无视抹权限 原理见ObpPreInterceptHandleCreate

ObpPreInterceptHandleCreate(PVOID Object, unsigned _...

			
		

	





	

		

			

				
					
枚举系统映像回调跟Phunt一样

				
			

			

				

					05-29
				

			

		

		

			
				
枚举系统回调,进程回调,线程回调,关机回调,错误回调,映像回调,适用于win7-win10 x86-x64

			
		

	





	

		

			

				
					
利用IoDriverObjectType控制内核驱动加载

				
			

			

				

					weixin_60043341的博客
				

				

					08-17
					
					516
					
				

			

		

		

			
				
在edr或者其他类型的安全软件我们通常要监测当前系统的内核驱动的加载通常使用的方法是PsSetLoadImageNotifyRoutine设置模块加载回调例程来监控ring3模块以及ring0模块的加载,回调函数 eLoadImageNotifyRoutine  的第二个参数判断,如果 PID是0 ,则表示加载驱动,如果PID非零,则表示加载DLL。缺点当然也就是函数太底层,第二就是方法太通用几乎做过进程、线程监控的搞安全内核开发的人基本都晓得,也很容易被发现而且也会被摘链,而失效。...

			
		

	





	

		

			

				
					
枚举和移除对象回调

				
			

			

				

					liuhaidon1992的博客
				

				

					01-08
					
					775
					
				

			

		

		

			
				
对象回调是目前绝大多数游戏保护用于保护游戏进程用的回调对象回调存储在对应对象结构体里, 简单来说,就是存储在 ObjectType. CallbackList 这个双向链表里。

1: kd> dt _object_type
nt!_OBJECT_TYPE
+0x000 TypeList     : _LIST_ENTRY
+0x010 Name       : _U...

			
		

	





	

		

			

				
					
优雅枚举枚举回调

				
			

			

				

					yewen1234的博客
				

				

					01-13
					
					184
					
				

			

		

		

			
				
优雅枚举枚举回调

			
		

	





	

		

			

				
					
驱动保护中的ObjectType_Callback探索

				
			

			

				

					whatday的专栏
				

				

					10-31
					
					9668
					
				

			

		

		

			
				
最近学习驱动保护,有点小小心德大家分享下。
当前环境:VM中的win7 32 保护程序是某游戏的驱动保护。
具体现象是:在用PCHunter工具查看object钩子时发现如下的信息:

 

疑问点1:在HOOK列显示的是ObjectType_Callback,以前只听说过ObjectType HOOK没听说过这个呀,这个是什么呢?

疑问点2:Object类型列显示的是“Pro

			
		

	





	

		

			

				
					
驱动中关于Callback 例程用法

				
			

			

				

					多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
				

				

					08-10
					
					2621
					
				

			

		

		

			
				
#include     // 准备接收该对象回调消息  #define CONST_CALLBACK_NAME L"//Callback//TcpConnectionCallBack"    // 注册成功后,返回的句柄,卸载时候需要用  PVOID CallbackRegisterationHandle = NULL;    // 驱动入口例程  NTSTATUS DriverEntry(

			
		

	





	

		

			

				
					
jquery append() 追加内容 remove() 删除回调

				
			

			

				

					Anonymous
				

				

					03-07
					
					5877
					
				

			

		

		

			
				
Html
<div class="row1 height28 s_consignee_city"></div>
<select name="shipping_method" class="selectForm" onchange="getShipCost();changeProductBarStyle(),changeSalesValesShow()" sty

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值