Win64 驱动内核编程-33.枚举与删除对象回调

最新推荐文章于 2023-12-01 15:43:25 发布
最新推荐文章于 2023-12-01 15:43:25 发布
阅读量5.4k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: 驱动内核编程 文章标签: 驱动 枚举与删除对象回调 宋孖健 13
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013761036/article/details/69062500
本文介绍了Windows 64位驱动中对象回调的存储位置和枚举方法,重点关注了存在于 ObjectType.CallbackList 的双向链表。文章详细分析了_WIN7X64_环境下_OBJECT_TYPE 结构体,并提供了逆向得出的_OB_CALLBACK_结构体定义。作者还分享了在枚举过程中如何使用ObUnRegisterCallbacks以及通过修改回调函数地址来管理回调的三种方法,并提醒在禁用回调时要遵循先PostCall后PreCall的顺序,以免导致系统崩溃。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

枚举与删除对象回调

    对象回调存储在对应对象结构体里,简单来说,就是存储在 ObjectType. CallbackList 这

个双向链表里。但对象结构体在每个系统上都不一定相同。比如 WIN7X64 的结构体如下:

ntdll!_OBJECT_TYPE

+0x000 TypeList : _LIST_ENTRY

+0x010 Name : _UNICODE_STRING

+0x020 DefaultObject : Ptr64 Void

+0x028 Index : UChar

+0x02c TotalNumberOfObjects : Uint4B

+0x030 TotalNumberOfHandles : Uint4B

+0x034 HighWaterNumberOfObjects : Uint4B

+0x038 HighWaterNumberOfHandles : Uint4B

+0x040 TypeInfo : _OBJECT_TYPE_INITIALIZER

+0x0b0 TypeLock : _EX_PUSH_LOCK

+0x0b8 Key : Uint4B

+0x0c0 CallbackList : _LIST_ENTRY

 

Object.CallbackList->FLink 指向的地址,是一个结构体链表,它的定义如下:

 

typedef&n

最低0.47元/天 解锁文章

200万优质内容无限畅学
Windows枚举驱动
墨痕诉清风的博客
09-25 358
driverquery /v
Win64 驱动内核编程-32.枚举删除注册表回调
墨鱼菜鸡
12-18 250
枚举删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,...
CheekyBlinder:使用已签名的易受攻击的驱动程序枚举删除内核回调
03-21
厚脸皮 更新以包括图像加载和线程创建回调。 随附的博客文章: : TL:DR 防病毒和端点检测响应产品使用内核回调来获得系统事件的可见性,例如: 流程创建 载入图片(exe / dll) 线程创建 档案建立 注册表修改 对象创建 以管理员身份输入内核内存不被视为安全边界,但是如何解决呢? 驱动程序可以自由访问内核内存以执行其任务。存在易受攻击的驱动程序,它们允许完整的内核内存读/写操作。该程序是一个概念证明,它允许使用经过签名的易受攻击的MSI驱动程序枚举和修改其中一些内核回调。这可用于查看和删除端点安全产品使用的遥测源,从而导致这些产品的盲目性。 目前,Windows 1909/2004仅支持以下回调: 载入图像 线程创建 流程创建 注册表修改(目前只读) 未来的更新旨在包括: 注册表修改(写) 对象创建 Minifilter回调(文件创建/修改等) 可以从下载易受攻击的驱动程序
TP保护机制
08-22
分解分析TP做的保护,需要一定的基础,没基础的注意。
6.9 Windows驱动开发:内核枚举进线程ObCall回调
最新发布
优快云
12-01 5324
进程线程ObCall回调Windows操作系统提供的一种机制,它允许开发者在进程或线程发生创建、销毁、访问、修改等事件时拦截并处理这些事件。进程线程ObCall回调是通过操作系统提供的回调机制来实现的。
枚举和移除进程和线程回调
liuhaidon1992的博客
01-08 823
进程回调可以监视进程的创建和退出,这个在前面的章节已经讲过了。 某些游戏保护的 驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退 出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里, 则马上把游戏退出。 我们注册的进程回调,会存储在一个名为 PspCreateProcessNotifyRoutine 的数组里。 PspCreatePr...
Win64 驱动内核编程-31.枚举删除映像回调
墨鱼菜鸡
12-18 126
枚举删除映像回调 映像回调可以拦截RING3和RING0的映像加载。某些游戏保护会用此来拦截黑名单中的驱动加载,比如XUETR、WIN64AST的驱动。同理,在反游戏保护的过程中,也可以拦截游戏驱动的加载。 跟进程/线程回调类似,映像回调也存储在数组里。这个数组的“符号名”...
Win64 驱动内核编程-30.枚举删除线程回调
天使也掉毛
04-04 4672
枚举删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。 我们注册的进程回调,会存储在一个名为PspCreateProc...
跨DLL回调实测,注册全局钩子实测。
06-17
跨DLL回调实测,注册全局钩子实测。
枚举和移除对象回调
liuhaidon1992的博客
01-08 787
对象回调是目前绝大多数游戏保护用于保护游戏进程用的回调对象回调存储在对应对象结构体里, 简单来说,就是存储在 ObjectType. CallbackList 这个双向链表里。 1: kd> dt _object_type nt!_OBJECT_TYPE +0x000 TypeList : _LIST_ENTRY +0x010 Name : _U...
驱动枚举
dhbzzz的专栏
04-21 3282
//--------------------------------------------------------------------------// Copyright (C), 2004-2010, Zhengzongzhao, All Rights Reserved//// FileName: EnumDriver.cpp//// Author: z
通俗易懂的让你彻底明白接口回调机制
flowsky37的专栏
03-07 9370
接口回调简单理解就是:类A中调用B类的中方法C,而B又反过去调用A中的方法D,然后D称为A的回调方法。是不是心中有一万只草泥马在奔腾,到底说的是什么。感觉像是你中有我,我中有你,纠缠不清。 举个通俗易懂的例子,比如顾客是A,厨师是B。面粉是接口Callback。然后面粉D是在顾客A的手中,厨师B有包子的做法C。现在需求是A想吃包子,但是A是不会做包子,就需要去找厨师,让他调方法C做包子,A就把面粉C
ObjectType_Callback探索
若面朝大海边竹妮春暖花开的博客
02-28 1303
使用PCHunter工具查看object钩子时发现有一种Hook是ObjectType_Callback,Object类型为Process WRK中的全局类型对象变量中没有这一类型 查看ObTypeIndexTable表,对比有HOOK和无HOOk的情况下,看元素是否有增加,如果是自创类型,在这个表里,应该有增加一项 ObTypeIndexTable在XP系统中不存在,前两项是无效的 当有HOO...
Javascript的callback机制使用总结
精彩人生
01-18 1181
1、背景 Javascript中的回调函数,相信大家都不陌生,最明显的例子是做Ajax请求时,提供的回调函数, 实际上DOM节点的事件处理方法(onclick,ondblclick等)也是回调函数。 在使用DWR的时候,回调函数可以作为第一个或者最后一个参数出现,如: function callBack(result){ } myDwrService.doSometh
异步实现方式一:异步回调
Hahaha_Val的博客
03-21 1万+
异步回调的实现依赖于多线程或者多进程软件模块之间总是存在着一定的接口,从调用方式上,可以把他们分为三类:同步调用、回调和异步调用。同步调用是一种阻塞式调用,调用方要等待对方执行完毕才返回,它是一种单向调用;回调是一种双向调用模式,也就是说,被调用方在接口被调用时也会调用对方的接口;异步调用是一种类似消息或事件的机制,不过它的调用方向刚好相反,接口的服务在收到某种讯息或发生某种事件时,会主动通知客户...
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9463
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
jquery append() 追加内容 remove() 删除回调
Anonymous
03-07 5882
Html <div class="row1 height28 s_consignee_city"></div> <select name="shipping_method" class="selectForm" onchange="getShipCost();changeProductBarStyle(),changeSalesValesShow()" sty
接口回调(重点是理解)
热门推荐
陈如水的专栏
07-28 2万+
模板性代码: private MyListener myListener; public interface MyListener { //通过抽象方法的参数传递数据的 void getData(Response res); } //回调方法 public void setOnListener(MyListene
X64下利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 6082
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程的保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值