在笔者上一篇文章《驱动开发:内核枚举LoadImage映像回调》LyShark教大家实现了枚举系统回调中的LoadImage通知消息,本章将实现对Registry注册表通知消息的枚举,与LoadImage消息不同Registry消息不需要解密只要找到CallbackListHead消息回调链表头并解析为_CM_NOTIFY_ENTRY结构即可实现枚举。

我们来看一款闭源ARK工具是如何实现的:

注册表系统回调的枚举需要通过特征码搜索来实现,首先我们可以定位到uf CmUnRegisterCallback内核函数上,在该内核函数下方存在一个CallbackListHead链表节点,取出这个链表地址。

当得到注册表链表入口0xfffff8063a065bc0直接将其解析为_CM_NOTIFY_ENTRY即可得到数据,如果要遍历下一个链表则只需要ListEntryHead.Flink向下移动指针即可。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 注册表回调函数结构体定义

typedef struct _CM_NOTIFY_ENTRY

{

  LIST_ENTRY  ListEntryHead;

  ULONG   UnKnown1;

  ULONG   UnKnown2;

  LARGE_INTEGER Cookie;

  PVOID   Context;

  PVOID   Function;

}CM_NOTIFY_ENTRY, *PCM_NOTIFY_ENTRY;

要想得到此处的链表地址,需要先通过MmGetSystemRoutineAddress()获取到CmUnRegisterCallback函数基址,然后在该函数起始位置向下搜索,找到这个链表节点,并将其后面的基地址取出来,在上一篇《驱动开发:内核枚举LoadImage映像回调》文章中已经介绍了定位方式此处跳过介绍,具体实现代码如下。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

#include <ntifs.h>

#include <windef.h>

// 指定内存区域的特征码扫描

// PowerBy: LyShark.com

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

	PVOID pAddress = NULL;

	PUCHAR i = NULL;

	ULONG m = 0;

	// 扫描内存

	for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

	{

		// 判断特征码

		for (m = 0; m < ulMemoryDataSize; m++)

		{

			if (*(PUCHAR)(i + m) != pMemoryData[m])

			{

				break;

			}

		}

		// 判断是否找到符合特征码的地址

		if (m >= ulMemoryDataSize)

		{

			// 找到特征码位置, 获取紧接着特征码的下一地址

			pAddress = (PVOID)(i + ulMemoryDataSize);

			break;

		}

	}

	return pAddress;

}

// 根据特征码获取 CallbackListHead 链表地址

// PowerBy: LyShark.com

PVOID SearchCallbackListHead(PUCHAR pSpecialData, ULONG ulSpecialDataSize, LONG lSpecialOffset)

{

	UNICODE_STRING ustrFuncName;

	PVOID pAddress = NULL;

	LONG lOffset = 0;

	PVOID pCmUnRegisterCallback = NULL;

	PVOID pCallbackListHead = NULL;

	// 先获取 CmUnRegisterCallback 函数地址

	RtlInitUnicodeString(&ustrFuncName, L"CmUnRegisterCallback");

	pCmUnRegisterCallback = MmGetSystemRoutineAddress(&ustrFuncName);

	if (NULL == pCmUnRegisterCallback)

	{

		return pCallbackListHead;

	}

	// 查找 fffff806`3a4271b3 488d0d06eac3ff  lea     rcx,[nt!CallbackListHead (fffff806`3a065bc0)]

	/*

	lyshark.com>

		nt!CmUnRegisterCallback+0x6b:

		fffff806`3a4271ab 4533c0          xor     r8d,r8d

		fffff806`3a4271ae 488d542438      lea     rdx,[rsp+38h]

		fffff806`3a4271b3 488d0d06eac3ff  lea     rcx,[nt!CallbackListHead (fffff806`3a065bc0)]

		fffff806`3a4271ba e855e2e2ff      call    nt!CmListGetNextElement (fffff806`3a255414)

		fffff806`3a4271bf 488bf8          mov     rdi,rax

		fffff806`3a4271c2 4889442440      mov     qword ptr [rsp+40h],rax

		fffff806`3a4271c7 4885c0          test    rax,rax

		fffff806`3a4271ca 0f84c7000000    je      nt!CmUnRegisterCallback+0x157 (fffff806`3a427297)  Branch

	*/

	pAddress = SearchMemory(pCmUnRegisterCallback, (PVOID)((PUCHAR)pCmUnRegisterCallback + 0xFF), pSpecialData, ulSpecialDataSize);

	if (NULL == pAddress)

	{

		return pCallbackListHead;

	}

	// 先获取偏移再计算地址

	lOffset = *(PLONG)((PUCHAR)pAddress + lSpecialOffset);

	pCallbackListHead = (PVOID)((PUCHAR)pAddress + lSpecialOffset + sizeof(LONG) + lOffset);

	return pCallbackListHead;

}

VOID UnDriver(PDRIVER_OBJECT Driver)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	PVOID pCallbackListHeadAddress = NULL;

	RTL_OSVERSIONINFOW osInfo = { 0 };

	UCHAR pSpecialData[50] = { 0 };

	ULONG ulSpecialDataSize = 0;

	LONG lSpecialOffset = 0;

	DbgPrint("hello lyshark.com \n");

	// 查找 fffff806`3a4271b3 488d0d06eac3ff  lea     rcx,[nt!CallbackListHead (fffff806`3a065bc0)]

	/*

	lyshark.com>

	nt!CmUnRegisterCallback+0x6b:

	fffff806`3a4271ab 4533c0          xor     r8d,r8d

	fffff806`3a4271ae 488d542438      lea     rdx,[rsp+38h]

	fffff806`3a4271b3 488d0d06eac3ff  lea     rcx,[nt!CallbackListHead (fffff806`3a065bc0)]

	fffff806`3a4271ba e855e2e2ff      call    nt!CmListGetNextElement (fffff806`3a255414)

	fffff806`3a4271bf 488bf8          mov     rdi,rax

	fffff806`3a4271c2 4889442440      mov     qword ptr [rsp+40h],rax

	fffff806`3a4271c7 4885c0          test    rax,rax

	fffff806`3a4271ca 0f84c7000000    je      nt!CmUnRegisterCallback+0x157 (fffff806`3a427297)  Branch

	*/

	pSpecialData[0] = 0x48;

	pSpecialData[1] = 0x8D;

	pSpecialData[2] = 0x0D;

	ulSpecialDataSize = 3;

	// 根据特征码获取地址

	pCallbackListHeadAddress = SearchCallbackListHead(pSpecialData, ulSpecialDataSize, lSpecialOffset);

	DbgPrint("[LyShark.com] CallbackListHead => %p \n", pCallbackListHeadAddress);

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

运行这段代码,并可得到注册表回调入口地址,输出效果如下所示:

得到了注册表回调入口地址,接着直接循环遍历输出这个链表即可得到所有的注册表回调。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

#include <ntifs.h>

#include <windef.h>

// 指定内存区域的特征码扫描

// PowerBy: LyShark.com

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

	PVOID pAddress = NULL;

	PUCHAR i = NULL;

	ULONG m = 0;

	// 扫描内存

	for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

	{

		// 判断特征码

		for (m = 0; m < ulMemoryDataSize; m++)

		{

			if (*(PUCHAR)(i + m) != pMemoryData[m])

			{

				break;

			}

		}

		// 判断是否找到符合特征码的地址

		if (m >= ulMemoryDataSize)

		{

			// 找到特征码位置, 获取紧接着特征码的下一地址

			pAddress = (PVOID)(i + ulMemoryDataSize);

			break;

		}

	}

	return pAddress;

}

// 根据特征码获取 CallbackListHead 链表地址

// PowerBy: LyShark.com

PVOID SearchCallbackListHead(PUCHAR pSpecialData, ULONG ulSpecialDataSize, LONG lSpecialOffset)

{

	UNICODE_STRING ustrFuncName;

	PVOID pAddress = NULL;

	LONG lOffset = 0;

	PVOID pCmUnRegisterCallback = NULL;

	PVOID pCallbackListHead = NULL;

	// 先获取 CmUnRegisterCallback 函数地址

	RtlInitUnicodeString(&ustrFuncName, L"CmUnRegisterCallback");

	pCmUnRegisterCallback = MmGetSystemRoutineAddress(&ustrFuncName);

	if (NULL == pCmUnRegisterCallback)

	{

		return pCallbackListHead;

	}

	// 查找 fffff806`3a4271b3 488d0d06eac3ff  lea     rcx,[nt!CallbackListHead (fffff806`3a065bc0)]

	/*

	lyshark.com>

		nt!CmUnRegisterCallback+0x6b:

		fffff806`3a4271ab 4533c0          xor     r8d,r8d

		fffff806`3a4271ae 488d542438      lea     rdx,[rsp+38h]

		fffff806`3a4271b3 488d0d06eac3ff  lea     rcx,[nt!CallbackListHead (fffff806`3a065bc0)]

		fffff806`3a4271ba e855e2e2ff      call    nt!CmListGetNextElement (fffff806`3a255414)

		fffff806`3a4271bf 488bf8          mov     rdi,rax

		fffff806`3a4271c2 4889442440      mov     qword ptr [rsp+40h],rax

		fffff806`3a4271c7 4885c0          test    rax,rax

		fffff806`3a4271ca 0f84c7000000    je      nt!CmUnRegisterCallback+0x157 (fffff806`3a427297)  Branch

	*/

	pAddress = SearchMemory(pCmUnRegisterCallback, (PVOID)((PUCHAR)pCmUnRegisterCallback + 0xFF), pSpecialData, ulSpecialDataSize);

	if (NULL == pAddress)

	{

		return pCallbackListHead;

	}

	// 先获取偏移再计算地址

	lOffset = *(PLONG)((PUCHAR)pAddress + lSpecialOffset);

	pCallbackListHead = (PVOID)((PUCHAR)pAddress + lSpecialOffset + sizeof(LONG) + lOffset);

	return pCallbackListHead;

}

// 注册表回调函数结构体定义

typedef struct _CM_NOTIFY_ENTRY

{

	LIST_ENTRY  ListEntryHead;

	ULONG   UnKnown1;

	ULONG   UnKnown2;

	LARGE_INTEGER Cookie;

	PVOID   Context;

	PVOID   Function;

}CM_NOTIFY_ENTRY, *PCM_NOTIFY_ENTRY;

VOID UnDriver(PDRIVER_OBJECT Driver)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	PVOID pCallbackListHeadAddress = NULL;

	RTL_OSVERSIONINFOW osInfo = { 0 };

	UCHAR pSpecialData[50] = { 0 };

	ULONG ulSpecialDataSize = 0;

	LONG lSpecialOffset = 0;

	DbgPrint("hello lyshark.com \n");

	// 查找 fffff806`3a4271b3 488d0d06eac3ff  lea     rcx,[nt!CallbackListHead (fffff806`3a065bc0)]

	/*

	lyshark.com>

	nt!CmUnRegisterCallback+0x6b:

	fffff806`3a4271ab 4533c0          xor     r8d,r8d

	fffff806`3a4271ae 488d542438      lea     rdx,[rsp+38h]

	fffff806`3a4271b3 488d0d06eac3ff  lea     rcx,[nt!CallbackListHead (fffff806`3a065bc0)]

	fffff806`3a4271ba e855e2e2ff      call    nt!CmListGetNextElement (fffff806`3a255414)

	fffff806`3a4271bf 488bf8          mov     rdi,rax

	fffff806`3a4271c2 4889442440      mov     qword ptr [rsp+40h],rax

	fffff806`3a4271c7 4885c0          test    rax,rax

	fffff806`3a4271ca 0f84c7000000    je      nt!CmUnRegisterCallback+0x157 (fffff806`3a427297)  Branch

	*/

	pSpecialData[0] = 0x48;

	pSpecialData[1] = 0x8D;

	pSpecialData[2] = 0x0D;

	ulSpecialDataSize = 3;

	// 根据特征码获取地址

	pCallbackListHeadAddress = SearchCallbackListHead(pSpecialData, ulSpecialDataSize, lSpecialOffset);

	DbgPrint("[LyShark.com] CallbackListHead => %p \n", pCallbackListHeadAddress);

	// 遍历链表结构

	ULONG i = 0;

	PCM_NOTIFY_ENTRY pNotifyEntry = NULL;

	if (NULL == pCallbackListHeadAddress)

	{

		return FALSE;

	}

	// 开始遍历双向链表

	pNotifyEntry = (PCM_NOTIFY_ENTRY)pCallbackListHeadAddress;

	do

	{

		// 判断pNotifyEntry地址是否有效

		if (FALSE == MmIsAddressValid(pNotifyEntry))

		{

			break;

		}

		// 判断回调函数地址是否有效

		if (MmIsAddressValid(pNotifyEntry->Function))

		{

			DbgPrint("[LyShark.com] 回调函数地址: 0x%p | 回调函数Cookie: 0x%I64X \n", pNotifyEntry->Function, pNotifyEntry->Cookie.QuadPart);

		}

		// 获取下一链表

		pNotifyEntry = (PCM_NOTIFY_ENTRY)pNotifyEntry->ListEntryHead.Flink;

	} while (pCallbackListHeadAddress != (PVOID)pNotifyEntry);

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

最终运行这个驱动程序,输出如下效果:

目前系统中有两个回调函数,这一点在第一张图片中也可以得到,枚举是正确的。

驱动开发:内核枚举Registry注册表回调的更多相关文章

  1. 驱动开发:内核监控Register注册表回调

    在笔者前一篇文章<驱动开发:内核枚举Registry注册表回调>中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监 ...

  2. Win64 驱动内核编程-32.枚举与删除注册表回调

    枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果.部分游戏保护还会在注册表回调上做功夫,监控 service ...

  3. Win64 驱动内核编程-6.内核里操作注册表

    内核里操作注册表 RING0 操作注册表和 RING3 的区别也不大,同样是"获得句柄->执行操作->关闭句柄"的模式,同样也只能使用内核 API 不能使用 WIN32 ...

  4. 遍历注册表回调函数(仿PCHunter CmpBack)

    遍历注册表回调函数(仿PCHunter CmpBack) typedef struct _CAPTURE_REGISTRY_MANAGER { PDEVICE_OBJECT deviceObject; ...

  5. 关于软件开发中兼容win7注册表的解决方案

    关于软件开发中兼容win7注册表的解决方案   编写人:CC阿爸 2014-3-14 l  近来在开发一winform程序时,发现在xp 系统访问注册表一切正常.可偏这个时候,微软又提醒大家.Xp今年 ...

  6. 驱动开发:内核枚举PspCidTable句柄表

    在上一篇文章<驱动开发:内核枚举DpcTimer定时器>中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows ...

  7. 驱动开发:内核枚举LoadImage映像回调

    在笔者之前的文章<驱动开发:内核特征码搜索函数封装>中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核LoadImage映像回调,在Win64环境下我们可以设置一个 ...

  8. 【spring 注解驱动开发】spring组件注册

    尚学堂spring 注解驱动开发学习笔记之 - 组件注册 组件注册 1.@Configuration&@Bean给容器中注册组件 2.@ComponentScan-自动扫描组件&指定扫 ...

  9. Webbrowser指定IE内核版本(更改注册表)

    如果电脑上安装了IE8或者之后版本的IE浏览器,Webbrowser控件会使用IE7兼容模式来显示网页内容.解决方法是在注册表中为你的进程指定引用IE的版本号. 比如我的程序叫做a.exe 对于32位 ...

随机推荐

  1. Ubuntu 20.04安装Docker

    Docker学习系列文章 入门必备:十本你不容错过的Docker入门到精通书籍推荐 day1.全面的Docker快速入门教程 day2.CentOS 8.4安装Docker day3.Windows1 ...

  2. 完整实现-通过DelayQueue实现延时任务

    实现延时任务有很多的方法,网上关于延时任务的实现的文章已经不少了.比如:实现延时任务的10种方法等等.但是这些文章基本上都是将方法大概的列举一下,给出部分示例代码,对于有经验的老程序员可能一看就知道该 ...

  3. Android Kotlin Annotation Processer

    Annotation Processer 注解处理器(Annotation Processer)是javac内置的注解处理工具,可以在编译时处理注解,让我们自己做相应的处理.比如生成重复度很高的代码, ...

  4. BI如何实现用户身份集成自定义安全程序开发

    统一身份认证是整个 IT 架构的最基本的组成部分,而账号则是实现统一身份认证的基础.做好账号的规划和设计直接决定着企业整个信息系统建设的便利与难易程度,决定着系统能否足够敏捷和快速赋能,也决定了在数字 ...

  5. maven-scope属性

    Maven 中的 scope 属性解释 <dependency> <groupId>org.glassfish.web</groupId> <artifact ...

  6. Docker安装Openresty总结

    1. 启动Docker systemctl start docker 2. 查询有没有openresty镜像 docker search openresty -s 30 -s 30 stars数大于3 ...

  7. 安装docker及使用docker安装其他软件(手动挂载数据卷)

    中秋明月,豪门有,贫家也有,极慰人心 Linux安装docker 可以参考官方的安装文档 centos安装docker: https://docs.docker.com/engine/install/ ...

  8. Thrift RPC改进—更加准确的超时管理

    前言: 之前我们组内部使用Thrift搭建了一个小型的RPC框架,具体的实现细节可以参考我之前的一篇技术文章:https://www.cnblogs.com/kaiblog/p/9507642.htm ...

  9. Spring Boot2配置Swagger2生成API接口文档

    一.Swagger2介绍 前后端分离开发模式中,api文档是最好的沟通方式. Swagger 是一个规范和完整的框架,用于生成.描述.调用和可视化 RESTful 风格的 Web 服务. 及时性 (接 ...

  10. haodoop概念总结

    大数据部门组织结构 Hadoop的优势(4高) 高可靠性:Hadoop底层维护多个数据副本 高扩展性:在集群间分配任务数据,可方便的扩展 高效性:在MapReduce的思想下,Hadoop时并行工作的 ...