在笔者上一篇文章《内核枚举Registry注册表回调》中我们通过特征码定位实现了对注册表回调的枚举,本篇文章LyShark将教大家如何枚举系统中的ProcessObCall进程回调以及ThreadObCall线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体_OB_CALLBACK以及_OBJECT_TYPE所以放在一起来讲解最好不过。

进程与线程ObCall回调是Windows操作系统提供的一种机制,它允许开发者在进程或线程发生创建、销毁、访问、修改等事件时拦截并处理这些事件。进程与线程ObCall回调是通过操作系统提供的回调机制来实现的。

当操作系统创建、销毁、访问或修改进程或线程时,它会触发进程与线程ObCall回调事件,然后在回调事件中调用注册的进程与线程ObCall回调函数。开发者可以在进程与线程ObCall回调函数中执行自定义的逻辑,例如记录日志,过滤敏感数据,或者阻止某些操作。

进程与线程ObCall回调可以通过操作系统提供的回调函数PsSetCreateProcessNotifyRoutine、PsSetCreateThreadNotifyRoutine、PsSetLoadImageNotifyRoutine等来进行注册。同时,进程与线程ObCall回调函数需要遵守一定的约束条件,例如不能阻塞或挂起进程或线程的创建或访问,不能调用一些内核API函数等。

进程与线程ObCall回调在安全软件、系统监控和调试工具等领域有着广泛的应用。

我们来看一款闭源ARK工具是如何实现的:

首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。

typedef struct _OBJECT_TYPE_INITIALIZER

{

    USHORT Length;                // Uint2B

    UCHAR ObjectTypeFlags;            // UChar

    ULONG ObjectTypeCode;             // Uint4B

    ULONG InvalidAttributes;          // Uint4B

    GENERIC_MAPPING GenericMapping;   // _GENERIC_MAPPING

    ULONG ValidAccessMask;       // Uint4B

    ULONG RetainAccess;         // Uint4B

    POOL_TYPE PoolType;        // _POOL_TYPE

    ULONG DefaultPagedPoolCharge;  // Uint4B

    ULONG DefaultNonPagedPoolCharge; // Uint4B

    PVOID DumpProcedure;       // Ptr64     void

    PVOID OpenProcedure;      // Ptr64     long

    PVOID CloseProcedure;     // Ptr64     void

    PVOID DeleteProcedure;        // Ptr64     void

    PVOID ParseProcedure;     // Ptr64     long

    PVOID SecurityProcedure;      // Ptr64     long

    PVOID QueryNameProcedure;     // Ptr64     long

    PVOID OkayToCloseProcedure;     // Ptr64     unsigned char

    ULONG WaitObjectFlagMask;     // Uint4B

    USHORT WaitObjectFlagOffset;    // Uint2B

    USHORT WaitObjectPointerOffset;   // Uint2B

}OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE

{

    LIST_ENTRY TypeList;           // _LIST_ENTRY

    UNICODE_STRING Name;         // _UNICODE_STRING

    PVOID DefaultObject;         // Ptr64 Void

    UCHAR Index;             // UChar

    ULONG TotalNumberOfObjects;      // Uint4B

    ULONG TotalNumberOfHandles;      // Uint4B

    ULONG HighWaterNumberOfObjects;    // Uint4B

    ULONG HighWaterNumberOfHandles;    // Uint4B

    OBJECT_TYPE_INITIALIZER TypeInfo;  // _OBJECT_TYPE_INITIALIZER

    EX_PUSH_LOCK TypeLock;         // _EX_PUSH_LOCK

    ULONG Key;                 // Uint4B

    LIST_ENTRY CallbackList;       // _LIST_ENTRY

}OBJECT_TYPE, *POBJECT_TYPE;

#pragma pack(1)

typedef struct _OB_CALLBACK

{

    LIST_ENTRY ListEntry;

    ULONGLONG Unknown;

    HANDLE ObHandle;

    PVOID ObTypeAddr;

    PVOID PreCall;

    PVOID PostCall;

}OB_CALLBACK, *POB_CALLBACK;

#pragma pack()

代码部分的实现很容易,由于进程与线程句柄的枚举很容易,直接通过(POBJECT_TYPE)(*PsProcessType))->CallbackList就可以拿到链表头结构,得到后将其解析为POB_CALLBACK并循环输出即可。

#include <ntifs.h>

#include <wdm.h>

#include <ntddk.h>

typedef struct _OBJECT_TYPE_INITIALIZER

{

    USHORT Length;                // Uint2B

    UCHAR ObjectTypeFlags;            // UChar

    ULONG ObjectTypeCode;             // Uint4B

    ULONG InvalidAttributes;          // Uint4B

    GENERIC_MAPPING GenericMapping;   // _GENERIC_MAPPING

    ULONG ValidAccessMask;       // Uint4B

    ULONG RetainAccess;         // Uint4B

    POOL_TYPE PoolType;        // _POOL_TYPE

    ULONG DefaultPagedPoolCharge;  // Uint4B

    ULONG DefaultNonPagedPoolCharge; // Uint4B

    PVOID DumpProcedure;       // Ptr64     void

    PVOID OpenProcedure;      // Ptr64     long

    PVOID CloseProcedure;     // Ptr64     void

    PVOID DeleteProcedure;        // Ptr64     void

    PVOID ParseProcedure;     // Ptr64     long

    PVOID SecurityProcedure;      // Ptr64     long

    PVOID QueryNameProcedure;     // Ptr64     long

    PVOID OkayToCloseProcedure;     // Ptr64     unsigned char

    ULONG WaitObjectFlagMask;     // Uint4B

    USHORT WaitObjectFlagOffset;    // Uint2B

    USHORT WaitObjectPointerOffset;   // Uint2B

}OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE

{

    LIST_ENTRY TypeList;           // _LIST_ENTRY

    UNICODE_STRING Name;         // _UNICODE_STRING

    PVOID DefaultObject;         // Ptr64 Void

    UCHAR Index;             // UChar

    ULONG TotalNumberOfObjects;      // Uint4B

    ULONG TotalNumberOfHandles;      // Uint4B

    ULONG HighWaterNumberOfObjects;    // Uint4B

    ULONG HighWaterNumberOfHandles;    // Uint4B

    OBJECT_TYPE_INITIALIZER TypeInfo;  // _OBJECT_TYPE_INITIALIZER

    EX_PUSH_LOCK TypeLock;         // _EX_PUSH_LOCK

    ULONG Key;                 // Uint4B

    LIST_ENTRY CallbackList;       // _LIST_ENTRY

}OBJECT_TYPE, *POBJECT_TYPE;

#pragma pack(1)

typedef struct _OB_CALLBACK

{

    LIST_ENTRY ListEntry;

    ULONGLONG Unknown;

    HANDLE ObHandle;

    PVOID ObTypeAddr;

    PVOID PreCall;

    PVOID PostCall;

}OB_CALLBACK, *POB_CALLBACK;

#pragma pack()

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)

{

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)

{

    NTSTATUS status = STATUS_SUCCESS;

    DbgPrint("hello lyshark \n");

    POB_CALLBACK pObCallback = NULL;

    // 直接获取 CallbackList 链表

    LIST_ENTRY CallbackList = ((POBJECT_TYPE)(*PsProcessType))->CallbackList;

    // 开始遍历

    pObCallback = (POB_CALLBACK)CallbackList.Flink;

    do

    {

        if (FALSE == MmIsAddressValid(pObCallback))

        {

            break;

        }

        if (NULL != pObCallback->ObHandle)

        {

            // 显示

            DbgPrint("[lyshark] ObHandle = %p | PreCall = %p | PostCall = %p \n", pObCallback->ObHandle, pObCallback->PreCall, pObCallback->PostCall);

        }

        // 获取下一链表信息

        pObCallback = (POB_CALLBACK)pObCallback->ListEntry.Flink;

    } while (CallbackList.Flink != (PLIST_ENTRY)pObCallback);

    return status;

}

运行这段驱动程序,即可得到进程句柄回调:

当然了如上是进程句柄的枚举,如果是想要输出线程句柄,则只需要替换代码中的PsProcessType((POBJECT_TYPE)(*PsThreadType))->CallbackList即可,修改后的代码如下。

#include <ntifs.h>

#include <wdm.h>

#include <ntddk.h>

typedef struct _OBJECT_TYPE_INITIALIZER

{

    USHORT Length;                // Uint2B

    UCHAR ObjectTypeFlags;            // UChar

    ULONG ObjectTypeCode;             // Uint4B

    ULONG InvalidAttributes;          // Uint4B

    GENERIC_MAPPING GenericMapping;   // _GENERIC_MAPPING

    ULONG ValidAccessMask;       // Uint4B

    ULONG RetainAccess;         // Uint4B

    POOL_TYPE PoolType;        // _POOL_TYPE

    ULONG DefaultPagedPoolCharge;  // Uint4B

    ULONG DefaultNonPagedPoolCharge; // Uint4B

    PVOID DumpProcedure;       // Ptr64     void

    PVOID OpenProcedure;      // Ptr64     long

    PVOID CloseProcedure;     // Ptr64     void

    PVOID DeleteProcedure;        // Ptr64     void

    PVOID ParseProcedure;     // Ptr64     long

    PVOID SecurityProcedure;      // Ptr64     long

    PVOID QueryNameProcedure;     // Ptr64     long

    PVOID OkayToCloseProcedure;     // Ptr64     unsigned char

    ULONG WaitObjectFlagMask;     // Uint4B

    USHORT WaitObjectFlagOffset;    // Uint2B

    USHORT WaitObjectPointerOffset;   // Uint2B

}OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE

{

    LIST_ENTRY TypeList;           // _LIST_ENTRY

    UNICODE_STRING Name;         // _UNICODE_STRING

    PVOID DefaultObject;         // Ptr64 Void

    UCHAR Index;             // UChar

    ULONG TotalNumberOfObjects;      // Uint4B

    ULONG TotalNumberOfHandles;      // Uint4B

    ULONG HighWaterNumberOfObjects;    // Uint4B

    ULONG HighWaterNumberOfHandles;    // Uint4B

    OBJECT_TYPE_INITIALIZER TypeInfo;  // _OBJECT_TYPE_INITIALIZER

    EX_PUSH_LOCK TypeLock;         // _EX_PUSH_LOCK

    ULONG Key;                 // Uint4B

    LIST_ENTRY CallbackList;       // _LIST_ENTRY

}OBJECT_TYPE, *POBJECT_TYPE;

#pragma pack(1)

typedef struct _OB_CALLBACK

{

    LIST_ENTRY ListEntry;

    ULONGLONG Unknown;

    HANDLE ObHandle;

    PVOID ObTypeAddr;

    PVOID PreCall;

    PVOID PostCall;

}OB_CALLBACK, *POB_CALLBACK;

#pragma pack()

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)

{

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)

{

    NTSTATUS status = STATUS_SUCCESS;

    DbgPrint("hello lyshark \n");

    POB_CALLBACK pObCallback = NULL;

    // 直接获取 CallbackList 链表

    LIST_ENTRY CallbackList = ((POBJECT_TYPE)(*PsThreadType))->CallbackList;

    // 开始遍历

    pObCallback = (POB_CALLBACK)CallbackList.Flink;

    do

    {

        if (FALSE == MmIsAddressValid(pObCallback))

        {

            break;

        }

        if (NULL != pObCallback->ObHandle)

        {

            // 显示

            DbgPrint("[LyShark] ObHandle = %p | PreCall = %p | PostCall = %p \n", pObCallback->ObHandle, pObCallback->PreCall, pObCallback->PostCall);

        }

        // 获取下一链表信息

        pObCallback = (POB_CALLBACK)pObCallback->ListEntry.Flink;

    } while (CallbackList.Flink != (PLIST_ENTRY)pObCallback);

    return status;

}

运行这段驱动程序,即可得到线程句柄回调:

6.9 Windows驱动开发:内核枚举进线程ObCall回调的更多相关文章

  1. X64驱动:内核操作进线程/模块

    注意:下面的所有案例必须使用.C结尾的文件,且必须在链接选项中加入 /INTEGRITYCHECK 选项,否则编译根本无法通过(整合修正,Win10可编译,须在测试模式下进行),内核代码相对固定,如果 ...

  2. 驱动开发:内核枚举进程与线程ObCall回调

    在笔者上一篇文章<驱动开发:内核枚举Registry注册表回调>中我们通过特征码定位实现了对注册表回调的枚举,本篇文章LyShark将教大家如何枚举系统中的ProcessObCall进程回 ...

  3. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  4. 《Windows内核安全与驱动开发》 4.4 线程与事件

    <Windows内核安全与驱动开发>阅读笔记 -- 索引目录 <Windows内核安全与驱动开发> 4.4 线程与事件 一.开辟一个线程,参数为(打印内容+打印次数),利用线程 ...

  5. 驱动开发:内核枚举Registry注册表回调

    在笔者上一篇文章<驱动开发:内核枚举LoadImage映像回调>中LyShark教大家实现了枚举系统回调中的LoadImage通知消息,本章将实现对Registry注册表通知消息的枚举,与 ...

  6. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  7. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  8. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  9. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  10. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

随机推荐

  1. 23年校招Java开发同花顺、滴滴等面经

    前言 已经工作近半年时间了,最近突然翻到这份面经,于是想整理一下一些面试的经验,大中小公司都有 青书一面 50min 数据库.java基础. Cas机制. Tcp/udp区别 堆排序介绍,答错了,弄成 ...

  2. 【python爬虫】bs4遍历、搜索文档树 bs4使用css选择器 selenium基本使用 selenium查找标签 selenium执行js代码

    目录 上节回顾 今日内容 0 bs4遍历文档树 1 bs4搜索文档树 1.1 find方法的其他参数 2 css选择器 3 selenium基本使用 4 无界面浏览器 4.1 模拟登录百度 5 sel ...

  3. 拥抱智能,AI 视频编码技术的新探索

    随着视频与交互在日常生活中的作用日益突显,愈发多样的视频场景与不断提高的视觉追求对视频编码提出更高的挑战.相较于人们手工设计的多种视频编码技术,AI 编码可以从大数据中自我学习到更广泛的信号内在编码规 ...

  4. 复旦大学2020考研机试题-编程能力摸底试题(A-E)

    A.斗牛 给定五个0~9范围内的整数a1,a2,a3,a4,a5.如果能从五个整数中选出三个并且这三个整数的和为10的倍数(包括0),那么这五个整数的权值即为剩下两个没被选出来的整数的和对10取余的结 ...

  5. SpringBoot多模块项目搭建以及搭建基础模板

    多模块项目搭建 目录 多模块项目搭建 1.父项目pom文件编辑 2.创建子模块 1.父项目pom文件编辑 <!--1.父工程 添加pom格式--> <packaging>pom ...

  6. shardingsphere 5.1.1 分库分表

    1. mysql配置: application-dubboService = spring-csc-campaign-agent-context.xml kafka.topics.redisAcces ...

  7. KCD技术分享:以SBOM为基础的云原生应用安全治理

    随着越来越多的企业和组织将他们的应用迁移到云上,云原生技术的应用部署和管理正在变得更加灵活和高效,但也相应地引入了一些新的安全风险.2023年4月15日,由云原生计算基金会(CNCF)发起,全球各国当 ...

  8. 无需修改代码,用 fcapp.run 运行你的 REST 应用

    作者 | 阿里云 Serverless 技术研发 落语 背景 阿里云函数计算产品在较早的时候支持了HTTP触发器能力,支持用户使用 HTTP 协议进行函数调用.函数计算后端通过一个共享的 APISer ...

  9. C#约瑟夫环问题算法

    /// <summary> /// 约瑟夫环问题算法 /// </summary> /// <param name="total">总人数< ...

  10. Linux复制安装 jdk 环境

    转载请注明出处: 最近在弄服务器环境,发现可以通过复制已安装 jdk 的服务器配置到新的服务器,并配置服务器环境变量配置文件就可以完成. 操作步骤如下: 1. 查看以安装jdk服务器的环境配置,并复制 ...