枚举与删除线程回调

进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。

我们注册的进程回调,会存储在一个名为 PspCreateProcessNotifyRoutine 的数组里。

PspCreateProcessNotifyRoutine 可以理解成一个 PVOID 数组,它记录了系统里所有进程回调的地址。这个数组最大长度是 64*sizeof(PVOID)。所以枚举进程回调的思路如下:找到这个数组的地址,然后解密数组的数据,得到所有回调的地址(这个数组记录的数据并不是回调的 地 址 , 而 是 经 过 加 密 地 址 , 需 要 解 密 才 行 )。 枚 举 线 程 回 调 同 理 , 要 找 到PspCreateThreadNotifyRoutine 的地址(这个数组最大长度也是 64*sizeof(PVOID)),然后解密数据,并把解密后的地址打印出来。

至于怎么处理这些回调就简单了。可以使用标准函数(PsSetCreateProcessNotifyRoutine、PsRemoveCreateThreadNotifyRoutine)将其摘掉,也可以直接在回调函数首地址写入 RET 把回调函数废掉。

首先要获得 PspCreateProcessNotifyRoutine 的地址。PspCreateProcessNotifyRoutine 在PspSetCreateProcessNotifyRoutine 函数里出现了。而 PspSetCreateProcessNotifyRoutine 则在PsSetCreateProcessNotifyRoutine 中被调用(注意前一个是 PspXXX,后一个是 PsXXX)。找到PspSetCreateProcessNotifyRoutine 之后,再匹配特征码:

于是我们根据特征码写出了以下代码(仅在 WIN7X64 上有效,WIN8、8.1 需要自己重新

定义特征码):

ULONG64 FindPspCreateProcessNotifyRoutine()

{

LONG	OffsetAddr=0;

ULONG64	i=0,pCheckArea=0;

UNICODE_STRING	unstrFunc;

//获得PsSetCreateProcessNotifyRoutine的地址

RtlInitUnicodeString(&unstrFunc, L"PsSetCreateProcessNotifyRoutine");

pCheckArea = (ULONG64)MmGetSystemRoutineAddress (&unstrFunc);

//获得PspSetCreateProcessNotifyRoutine的地址

memcpy(&OffsetAddr,(PUCHAR)pCheckArea+4,4);

pCheckArea=(pCheckArea+3)+5+OffsetAddr;

DbgPrint("PspSetCreateProcessNotifyRoutine: %llx",pCheckArea);

//获得PspCreateProcessNotifyRoutine的地址

for(i=pCheckArea;i<pCheckArea+0xff;i++)

{

if(*(PUCHAR)i==0x4c && *(PUCHAR)(i+1)==0x8d && *(PUCHAR)(i+2)==0x35)	//lea r14,xxxx

{

LONG OffsetAddr=0;

memcpy(&OffsetAddr,(PUCHAR)(i+3),4);

return OffsetAddr+7+i;

}

}

return 0;

}

找到了 PspCreateProcessNotifyRoutine,枚举操作就好办了。需要说明的是,在PspCreateProcessNotifyRoutine 里的数据竟然被加密了,需要把数组的值和 0xfffffffffffffff8进行“与”位运算才行:

找线程的同理:

PspCreateThreadNotifyRoutine ->

PsSetCreateThreadNotifyRoutine ->

PspCreateThreadNotifyRoutine

执行结果如下(干净win7系统没有线程回调,特意注册了两个):

void EnumCreateProcessNotify()

{

int i=0;

BOOLEAN b;

ULONG64	NotifyAddr=0,MagicPtr=0;

ULONG64	PspCreateProcessNotifyRoutine=FindPspCreateProcessNotifyRoutine();

DbgPrint("PspCreateProcessNotifyRoutine: %llx",PspCreateProcessNotifyRoutine);

if(!PspCreateProcessNotifyRoutine)

return;

for(i=0;i<64;i++)

{

MagicPtr=PspCreateProcessNotifyRoutine+i*8;

NotifyAddr=*(PULONG64)(MagicPtr);

if(MmIsAddressValid((PVOID)NotifyAddr) && NotifyAddr!=0)

{

NotifyAddr=*(PULONG64)(NotifyAddr & 0xfffffffffffffff8);

DbgPrint("[CreateProcess]%llx",NotifyAddr);

}

}

}

代码整理: 进程

ULONG64 FindPspCreateProcessNotifyRoutine()

{

LONG	OffsetAddr=0;

ULONG64	i=0,pCheckArea=0;

UNICODE_STRING	unstrFunc;

//获得PsSetCreateProcessNotifyRoutine的地址

RtlInitUnicodeString(&unstrFunc, L"PsSetCreateProcessNotifyRoutine");

pCheckArea = (ULONG64)MmGetSystemRoutineAddress (&unstrFunc);

//获得PspSetCreateProcessNotifyRoutine的地址

memcpy(&OffsetAddr,(PUCHAR)pCheckArea+4,4);

pCheckArea=(pCheckArea+3)+5+OffsetAddr;

DbgPrint("PspSetCreateProcessNotifyRoutine: %llx",pCheckArea);

//获得PspCreateProcessNotifyRoutine的地址

for(i=pCheckArea;i<pCheckArea+0xff;i++)

{

if(*(PUCHAR)i==0x4c && *(PUCHAR)(i+1)==0x8d && *(PUCHAR)(i+2)==0x35)	//lea r14,xxxx

{

LONG OffsetAddr=0;

memcpy(&OffsetAddr,(PUCHAR)(i+3),4);

return OffsetAddr+7+i;

}

}

return 0;

}

void EnumCreateProcessNotify()

{

int i=0;

BOOLEAN b;

ULONG64	NotifyAddr=0,MagicPtr=0;

ULONG64	PspCreateProcessNotifyRoutine=FindPspCreateProcessNotifyRoutine();

DbgPrint("PspCreateProcessNotifyRoutine: %llx",PspCreateProcessNotifyRoutine);

if(!PspCreateProcessNotifyRoutine)

return;

for(i=0;i<64;i++)

{

MagicPtr=PspCreateProcessNotifyRoutine+i*8;

NotifyAddr=*(PULONG64)(MagicPtr);

if(MmIsAddressValid((PVOID)NotifyAddr) && NotifyAddr!=0)

{

NotifyAddr=*(PULONG64)(NotifyAddr & 0xfffffffffffffff8);

DbgPrint("[CreateProcess]%llx",NotifyAddr);

}

}

}

线程(包括创建线程回调测试代码):

void CreateThreadNotify1

(

    IN HANDLE  ProcessId,

    IN HANDLE  ThreadId,

    IN BOOLEAN  Create

)

{

DbgPrint("CreateThreadNotify1\n");

}

void CreateThreadNotify2

(

    IN HANDLE  ProcessId,

    IN HANDLE  ThreadId,

    IN BOOLEAN  Create

)

{

DbgPrint("CreateThreadNotify2\n");

}

void CreateThreadNotifyTest(BOOLEAN Remove)

{

if(!Remove)

{

PsSetCreateThreadNotifyRoutine(CreateThreadNotify1);

PsSetCreateThreadNotifyRoutine(CreateThreadNotify2);

}

else

{

PsRemoveCreateThreadNotifyRoutine(CreateThreadNotify1);

PsRemoveCreateThreadNotifyRoutine(CreateThreadNotify2);

}

}

ULONG64 FindPspCreateThreadNotifyRoutine()

{

ULONG64	i=0,pCheckArea=0;

UNICODE_STRING	unstrFunc;

RtlInitUnicodeString(&unstrFunc, L"PsSetCreateThreadNotifyRoutine");

pCheckArea = (ULONG64)MmGetSystemRoutineAddress (&unstrFunc);

DbgPrint("PsSetCreateThreadNotifyRoutine: %llx",pCheckArea);

for(i=pCheckArea;i<pCheckArea+0xff;i++)

{

if(*(PUCHAR)i==0x48 && *(PUCHAR)(i+1)==0x8d && *(PUCHAR)(i+2)==0x0d)	//lea rcx,xxxx

{

LONG OffsetAddr=0;

memcpy(&OffsetAddr,(PUCHAR)(i+3),4);

return OffsetAddr+7+i;

}

}

return 0;

}

void EnumCreateThreadNotify()

{

int i=0;

BOOLEAN b;

ULONG64	NotifyAddr=0,MagicPtr=0;

ULONG64	PspCreateThreadNotifyRoutine=FindPspCreateThreadNotifyRoutine();

DbgPrint("PspCreateThreadNotifyRoutine: %llx",PspCreateThreadNotifyRoutine);

if(!PspCreateThreadNotifyRoutine)

return;

for(i=0;i<64;i++)

{

MagicPtr=PspCreateThreadNotifyRoutine+i*8;

NotifyAddr=*(PULONG64)(MagicPtr);

if(MmIsAddressValid((PVOID)NotifyAddr) && NotifyAddr!=0)

{

NotifyAddr=*(PULONG64)(NotifyAddr & 0xfffffffffffffff8);

DbgPrint("[CreateThread]%llx",NotifyAddr);

PsRemoveCreateThreadNotifyRoutine(NotifyAddr);

}

}

}

宋孖健,13

Win64 驱动内核编程-30.枚举与删除线程回调的更多相关文章

  1. Win64 驱动内核编程-33.枚举与删除对象回调

    转载:http://www.voidcn.com/article/p-wulgeluy-bao.html 枚举与删除对象回调 对象回调存储在对应对象结构体里,简单来说,就是存储在 ObjectType ...

  2. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  3. Win64 驱动内核编程-32.枚举与删除注册表回调

    枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果.部分游戏保护还会在注册表回调上做功夫,监控 service ...

  4. Win64 驱动内核编程-28.枚举消息钩子

    枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之 ...

  5. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  6. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  7. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  8. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  9. Win64 驱动内核编程-11.回调监控进线程句柄操作

    无HOOK监控进线程句柄操作 在 NT5 平台下,要监控进线程句柄的操作. 通常要挂钩三个API:NtOpenProcess.NtOpenThread.NtDuplicateObject.但是在 VI ...

随机推荐

  1. 60秒定位问题,十倍程序员的Debug日常

    作者:陶建辉 这是我在 2020 年 5 月写的一篇内部博客,当时是希望研发和技术支持同学能够帮助用户快速定位 Bug,解决问题.2020 年 12 月我又迭代了一版,并还针对此进行了内部的培训.这段 ...

  2. 说说SpringMVC从http流到Controller接口参数的转换过程

    一,前言 谈起springMVC框架接口请求过程大部分人可能会这样回答:负责将请求分发给对应的handler,然后handler会去调用实际的接口.核心功能是这样的,但是这样的回答未免有些草率.面试过 ...

  3. mysql 单机多实例重启数据库服务

    1.# cat db.txtbackend 3310base 3320storage 3330payment 3340promotion 3350 2.# cat restart_mysql_slav ...

  4. 世界国省市区SQL语句(mysql)

    CREATE TABLE loctionall ( country VARCHAR(40) , provice VARCHAR(40) , city VARCHAR(40) , CONSTRAINT ...

  5. SpringCloud 中 Feign 调用使用总结

    最近做微服务架构的项目,在用 feign 来进行服务间的调用.在互调的过程中,难免出现问题,根据错误总结了一下,主要是请求方式的错误和接参数的错误造成的.在此进行一下总结记录. 以下通过分为三种情况说 ...

  6. 后台开发-核心技术与应用实践--TCP协议

    网络模型 为使不同计算机厂家的计算机能够互相通信,国际标准化组织 ISO 1981 年正式推荐了一个网络系统结构一一七层参考模型,也叫作开放系统互连模型. ISO 七层网络模型及其功能展示: 这个七层 ...

  7. 从新建文件夹开始构建UtopiaEngine(1)

    序言 在苦等了半年多之后,我终于开始了向往已久的实时NPR游戏引擎项目--Utopia Engine,这半年多一直为了构建这个引擎在做很多准备:多线程.动态链接库.脚本引擎.立即渲染GUI--统统吃了 ...

  8. Java学习之随机数的用法

    •前言 随机数的产生在一些代码中很常用,也是我们必须要掌握的. 而 Java 中产生随机数的方法主要有三种: new Random() Math.random() currentTimeMillis( ...

  9. PAT (Advanced Level) Practice 1002 A+B for Polynomials (25 分) 凌宸1642

    PAT (Advanced Level) Practice 1002 A+B for Polynomials (25 分) 凌宸1642 题目描述: This time, you are suppos ...

  10. 文字变图片——GitHub 热点速览 v.21.14

    作者:HelloGitHub-小鱼干 程序的力量,在 deep-daze 体现得淋漓尽致,你用一句话描述下你的图片需求,它就能帮你生成对应图片.同样的,appsmith 的力量在于你只要拖拽即可得到一 ...