Win64 驱动内核编程-33.枚举与删除对象回调

最新推荐文章于 2025-06-10 17:17:05 发布
原创 最新推荐文章于 2025-06-10 17:17:05 发布 · 5.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#驱动 #枚举与删除对象回调 #宋孖健 #13

本文介绍了Windows 64位驱动中对象回调的存储位置和枚举方法,重点关注了存在于 ObjectType.CallbackList 的双向链表。文章详细分析了_WIN7X64_环境下_OBJECT_TYPE 结构体,并提供了逆向得出的_OB_CALLBACK_结构体定义。作者还分享了在枚举过程中如何使用ObUnRegisterCallbacks以及通过修改回调函数地址来管理回调的三种方法,并提醒在禁用回调时要遵循先PostCall后PreCall的顺序,以免导致系统崩溃。

枚举与删除对象回调

    对象回调存储在对应对象结构体里,简单来说,就是存储在 ObjectType. CallbackList 这

个双向链表里。但对象结构体在每个系统上都不一定相同。比如 WIN7X64 的结构体如下:

ntdll!_OBJECT_TYPE

+0x000 TypeList : _LIST_ENTRY

+0x010 Name : _UNICODE_STRING

+0x020 DefaultObject : Ptr64 Void

+0x028 Index : UChar

+0x02c TotalNumberOfObjects : Uint4B

+0x030 TotalNumberOfHandles : Uint4B

+0x034 HighWaterNumberOfObjects : Uint4B

+0x038 HighWaterNumberOfHandles : Uint4B

+0x040 TypeInfo : _OBJECT_TYPE_INITIALIZER

+0x0b0 TypeLock : _EX_PUSH_LOCK

+0x0b8 Key : Uint4B

+0x0c0 CallbackList : _LIST_ENTRY

 

Object.CallbackList->FLink 指向的地址,是一个结构体链表,它的定义如下:

 

typedef&n

最低0.47元/天 解锁文章
CheekyBlinder:使用已签名的易受攻击的驱动程序枚举删除内核回调
03-21
厚脸皮 更新以包括图像加载和线程创建回调。 随附的博客文章: : TL:DR 防病毒和端点检测响应产品使用内核回调来获得系统事件的可见性,例如: 流程创建 载入图片(exe / dll) 线程创建 档案建立 注册表修改 对象创建 以管理员身份输入内核内存不被视为安全边界,但是如何解决呢? 驱动程序可以自由访问内核内存以执行其任务。存在易受攻击的驱动程序,它们允许完整的内核内存读/写操作。该程序是一个概念证明,它允许使用经过签名的易受攻击的MSI驱动程序枚举和修改其中一些内核回调。这可用于查看和删除端点安全产品使用的遥测源,从而导致这些产品的盲目性。 目前,Windows 1909/2004仅支持以下回调: 载入图像 线程创建 流程创建 注册表修改(目前只读) 未来的更新旨在包括: 注册表修改(写) 对象创建 Minifilter回调(文件创建/修改等) 可以从下载易受攻击的驱动程序
TP保护机制
08-22
分解分析TP做的保护,需要一定的基础,没基础的注意。
ObRegisterCallbacks注册句柄操作回调进程保护
weixin_42969457的博客
01-10 1798
简单记录下ObRegisterCallbacks的基本用法,以及如何用该方法控制内核对象的权限,加深一下自己的理解,也希望帮助看到的人少走这方面的弯路。
X64下利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 6281
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程的保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
驱动开发:内核枚举LoadImage映像回调
优快云
10-20 1万+
映像加载通告回调,当有新驱动或者DLL被加载时,回调函数就会被调用从而执行我们自己的回调例程,映像回调也存储在数组里,枚举时从数组中读取值之后,需要进行位运算解密得到地址。目前系统中只有两个回调,所以枚举出来的只有两条,打开ARK验证一下会发现完全正确,忽略。中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核。如上所述,如果我们需要拿到回调数组那么首先要得到该数组,数组的符号名是。增加解密代码以后,这段程序的完整代码也就可以被写出来了,如下所示。首先定位到,能够找到。
Win64 驱动内核编程-32.枚举删除注册表回调
墨鱼菜鸡
12-18 357
枚举删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,...
Win64 驱动内核编程-31.枚举删除映像回调
墨鱼菜鸡
12-18 205
枚举删除映像回调 映像回调可以拦截RING3和RING0的映像加载。某些游戏保护会用此来拦截黑名单中的驱动加载,比如XUETR、WIN64AST的驱动。同理,在反游戏保护的过程中,也可以拦截游戏驱动的加载。 跟进程/线程回调类似,映像回调也存储在数组里。这个数组的“符号名”...
Win64 驱动内核编程-30.枚举删除线程回调
天使也掉毛
04-04 4754
枚举删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。 我们注册的进程回调,会存储在一个名为PspCreateProc...
枚举和移除对象回调
liuhaidon1992的博客
01-08 823
对象回调是目前绝大多数游戏保护用于保护游戏进程用的回调对象回调存储在对应对象结构体里, 简单来说,就是存储在 ObjectType. CallbackList 这个双向链表里。 1: kd> dt _object_type nt!_OBJECT_TYPE +0x000 TypeList : _LIST_ENTRY +0x010 Name : _U...
驱动开发:内核注册并监控对象回调
优快云
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
R3暴力枚举驱动
03-31
易语言ring3下暴力枚举驱动的例子。任何驱动都可枚举出来。
网络安全之内核初级对抗技术分析
最新发布
anquan2233的博客
06-10 1300
Windows 内核提供了多个强大的回调接口,可以用于监控或控制系统行为,其中 ObRegisterCallbacks 和 CmRegisterCallback 是两种最常用于进程保护和注册表监控的机制。本文会通过多个完整的驱动示例,演示如何利用这两种回调进行内核级防护,并分析它们在初级对抗中的实际应用效果局限性。测试环境:win10内核回调机制是内核安全防护的重要组成部分,但在面对有一定逆向能力和 Ring0 编写能力的攻击者时,其对抗能力仍存在上限。
基于ObRegisterCallbacks实现的线程和进程监控及其保护
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
02-23 4161
要实现监控系统线程和进程,并实现对指定线程和进程的保护,在 32 位系统上可以使用 HOOK 技术,HOOK 相关的函数来实现。但是,到了 64 位平台上,就不能继续按常规的 HOOK 方法去实现了。 好在 Windows 给我们提供了 ObRegisterCallbacks 内核函数来注册系统回调,可以用来注册系统线程回调,监控系统的线程创建、退出等情况,而且还能进行控制;也可以用来注册系统进程回调,可以监控系统的进程创建、退出等情况,而且也能进行控制。这使得我们实现保护指定线程、进程不被结束,提供了可
驱动开发:内核枚举驱动内线程(答疑篇)
优快云
10-17 1万+
这篇文章比较特殊,是一篇穿插答疑文章,由于刚好在前一篇教程`《驱动开发:内核枚举PspCidTable句柄表》`整理了枚举句柄表的知识点,正好这个知识点能解决一个问题,事情是这样的有一个粉丝求助了一个问题,想要枚举驱动中活动的线程信息,此功能我并没有尝试过当时也只是说了一个大致思路,今天想具体聊一聊这个话题,也想聊一聊自己对粉丝们的想法。
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9545
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
Windows枚举驱动
墨痕诉清风的博客
09-25 468
driverquery /v
异步实现方式一:异步回调
Hahaha_Val的博客
03-21 1万+
异步回调的实现依赖于多线程或者多进程软件模块之间总是存在着一定的接口,从调用方式上,可以把他们分为三类:同步调用、回调和异步调用。同步调用是一种阻塞式调用,调用方要等待对方执行完毕才返回,它是一种单向调用;回调是一种双向调用模式,也就是说,被调用方在接口被调用时也会调用对方的接口;异步调用是一种类似消息或事件的机制,不过它的调用方向刚好相反,接口的服务在收到某种讯息或发生某种事件时,会主动通知客户...
接口回调(重点是理解)
热门推荐
陈如水的专栏
07-28 2万+
模板性代码: private MyListener myListener; public interface MyListener { //通过抽象方法的参数传递数据的 void getData(Response res); } //回调方法 public void setOnListener(MyListene
【原创】驱动枚举之EnumServicesStatusEx
weixin_33937499的博客
08-11 503
BOOL WINAPI EnumServicesStatusEx( _In_ SC_HANDLE hSCManager, _In_ SC_ENUM_TYPE InfoLevel, _In_ DWORD dwServiceType, _In_ DWORD dwServiceState, _Out_opt_ LPBYTE lpServices, _In_ DWORD cbBufSize...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值