无HOOK监控进线程句柄操作

在 NT5 平台下,要监控进线程句柄的操作。

通常要挂钩三个API:NtOpenProcess、NtOpenThread、NtDuplicateObject。但是在 VISTA SP1 以及之后的系统中,我们可以完全抛弃 HOOK 方案了,转而使用一个标准的 API:ObRegisterCallbacks。下面做一个监视进线程句柄操作的程序,并实现保护名为 CALC.EXE 的进程不被结束。

首先介绍一下 ObRegisterCallbacks 这个函数。此函数的前缀是Ob,看得出它是属于对象管理器的函数,Register 是注册,Callbacks 是回调(复数)。

因此从字面意思上看,它是注册一个对象回调的意思。现在它只能监控进程对象和线程对象。但微软承诺会给此函数增加功能,实现对其它内核对象的监控。这个函数在不能合法进行内核挂钩的 WIN64 上特别有用,但是微软做了一个很扯淡的限制: 驱动程序必须有数字签名才能使用 此函数。不过国外的黑客对此限制很不爽,他们通过逆向 ObRegisterCallbacks,找到了破解这个限制的方法。经研究,内核通过 MmVerifyCallbackFunction 验证此回调是否合法,但此函数只是简单的验证了一下 DriverObject->DriverSection->Flags 的值是不是为 0x20:所以可以简单破解掉这个限制:

X32

	typedef struct _LDR_DATA_TABLE_ENTRY32

	{

		LIST_ENTRY32 InLoadOrderLinks;

		LIST_ENTRY32 InMemoryOrderLinks;

		LIST_ENTRY32 InInitializationOrderLinks;

		ULONG DllBase;

		ULONG EntryPoint;

		ULONG SizeOfImage;

		UNICODE_STRING32 FullDllName;

		UNICODE_STRING32 BaseDllName;

		ULONG Flags;

		USHORT LoadCount;

		USHORT TlsIndex;

		union {

			LIST_ENTRY32 HashLinks;

			struct {

				ULONG SectionPointer;

				ULONG  CheckSum;

			};

		};

		union {

			struct {

				ULONG  TimeDateStamp;

			};

			struct {

				ULONG LoadedImports;

			};

		};

	} LDR_DATA_TABLE_ENTRY32, *PLDR_DATA_TABLE_ENTRY32;

	PLDR_DATA_TABLE_ENTRY32 ldr;

	ldr = (PLDR_DATA_TABLE_ENTRY32)(pDriverObj->DriverSection);

	ldr->Flags |= 0x20;

X64

	typedef struct _LDR_DATA_TABLE_ENTRY64

	{

		LIST_ENTRY64    InLoadOrderLinks;

		LIST_ENTRY64    InMemoryOrderLinks;

		LIST_ENTRY64    InInitializationOrderLinks;

		PVOID            DllBase;

		PVOID            EntryPoint;

		ULONG            SizeOfImage;

		UNICODE_STRING    FullDllName;

		UNICODE_STRING     BaseDllName;

		ULONG            Flags;

		USHORT            LoadCount;

		USHORT            TlsIndex;

		PVOID            SectionPointer;

		ULONG            CheckSum;

		PVOID            LoadedImports;

		PVOID            EntryPointActivationContext;

		PVOID            PatchInformation;

		LIST_ENTRY64    ForwarderLinks;

		LIST_ENTRY64    ServiceTagLinks;

		LIST_ENTRY64    StaticLinks;

		PVOID            ContextInformation;

		ULONG64            OriginalBase;

		LARGE_INTEGER    LoadTime;

	} LDR_DATA_TABLE_ENTRY64, *PLDR_DATA_TABLE_ENTRY64;

	PLDR_DATA_TABLE_ENTRY64 ldr;

	ldr = (PLDR_DATA_TABLE_ENTRY64)(pDriverObj->DriverSection);

	ldr->Flags |= 0x20;

上面代码如果是用于商业或者其他正当场合,注意要好好测试下,我是在网上找了到了那个结构体定义,然后自己在win7 32和win764位机器上测试了一下,没问题。小伙伴记得好好测试其他系统再用。然后就是来两个回调函数,一个是进程回调,一个是线程回调:

NTKERNELAPI PEPROCESS IoThreadToProcess(PETHREAD Thread);

NTKERNELAPI char* PsGetProcessImageFileName(PEPROCESS Process);

BOOLEAN IsProtectedProcessName(PEPROCESS eprocess)

{

	char *Name=PsGetProcessImageFileName(eprocess);

	if(!_stricmp("calc.exe",Name))

		return TRUE;

	else

		return FALSE;

}

PVOID obHandle=NULL,obHandle2=NULL;

OB_PREOP_CALLBACK_STATUS preCall(PVOID RegistrationContext, POB_PRE_OPERATION_INFORMATION pOperationInformation)

{

	#define PROCESS_TERMINATE 0x1

	HANDLE pid;

	if(pOperationInformation->ObjectType!=*PsProcessType)

		goto exit_sub;

	pid = PsGetProcessId((PEPROCESS)pOperationInformation->Object);

	DbgPrint("[OBCALLBACK][Process]PID=%ld\n",pid);

	UNREFERENCED_PARAMETER(RegistrationContext);

	if( IsProtectedProcessName((PEPROCESS)pOperationInformation->Object) )

	{

		if (pOperationInformation->Operation == OB_OPERATION_HANDLE_CREATE)

		{

			//pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess=0;

			if ((pOperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_TERMINATE) == PROCESS_TERMINATE)

            {

                pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_TERMINATE;

            }

		}

		if(pOperationInformation->Operation == OB_OPERATION_HANDLE_DUPLICATE)

		{

			//pOperationInformation->Parameters->DuplicateHandleInformation.DesiredAccess=0;

			if ((pOperationInformation->Parameters->DuplicateHandleInformation.OriginalDesiredAccess & PROCESS_TERMINATE) == PROCESS_TERMINATE)

            {

                pOperationInformation->Parameters->DuplicateHandleInformation.DesiredAccess &= ~PROCESS_TERMINATE;

            }

		}

	}

exit_sub:

	return OB_PREOP_SUCCESS;

}

OB_PREOP_CALLBACK_STATUS preCall2(PVOID RegistrationContext, POB_PRE_OPERATION_INFORMATION pOperationInformation)

{

	#define THREAD_TERMINATE2 0x1

	PEPROCESS ep;

	PETHREAD et;

	HANDLE pid;

	if(pOperationInformation->ObjectType!=*PsThreadType)

		goto exit_sub;

	et=(PETHREAD)pOperationInformation->Object;

	ep=IoThreadToProcess(et);

	pid = PsGetProcessId(ep);

	DbgPrint("[OBCALLBACK][Thread]PID=%ld; TID=%ld\n",pid,PsGetThreadId(et));

	UNREFERENCED_PARAMETER(RegistrationContext);

	if( IsProtectedProcessName(ep) )

	{

		if (pOperationInformation->Operation == OB_OPERATION_HANDLE_CREATE)

		{

			//pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess=0;

			if ((pOperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & THREAD_TERMINATE2) == THREAD_TERMINATE2)

            {

                pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~THREAD_TERMINATE2;

            }

		}

		if(pOperationInformation->Operation == OB_OPERATION_HANDLE_DUPLICATE)

		{

			//pOperationInformation->Parameters->DuplicateHandleInformation.DesiredAccess=0;

			if ((pOperationInformation->Parameters->DuplicateHandleInformation.OriginalDesiredAccess & THREAD_TERMINATE2) == THREAD_TERMINATE2)

            {

                pOperationInformation->Parameters->DuplicateHandleInformation.DesiredAccess &= ~THREAD_TERMINATE2;

            }

		}

	}

exit_sub:

	return OB_PREOP_SUCCESS;

}

然后就是在驱动里注册/卸载这两个回调函数:

NTSTATUS ObProtectProcess(BOOLEAN Enable)

{

	if(Enable==TRUE)

	{

		NTSTATUS obst1=0,obst2=0;

		OB_CALLBACK_REGISTRATION obReg,obReg2;

		OB_OPERATION_REGISTRATION opReg,opReg2;

		//reg ob callback 1

		memset(&obReg, 0, sizeof(obReg));

		obReg.Version = ObGetFilterVersion();

		obReg.OperationRegistrationCount = 1;

		obReg.RegistrationContext = NULL;

		RtlInitUnicodeString(&obReg.Altitude, L"321124");

		obReg.OperationRegistration = &opReg;

		memset(&opReg, 0, sizeof(opReg));

		opReg.ObjectType = PsProcessType;

		opReg.Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;

		opReg.PreOperation = (POB_PRE_OPERATION_CALLBACK)&preCall;

		obst1=ObRegisterCallbacks(&obReg, &obHandle);

		//reg ob callback 2

		memset(&obReg2, 0, sizeof(obReg2));

		obReg2.Version = ObGetFilterVersion();

		obReg2.OperationRegistrationCount = 1;

		obReg2.RegistrationContext = NULL;

		RtlInitUnicodeString(&obReg2.Altitude, L"321125");

		obReg2.OperationRegistration = &opReg2;

		memset(&opReg2, 0, sizeof(opReg2));

		opReg2.ObjectType = PsThreadType;

		opReg2.Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;

		opReg2.PreOperation = (POB_PRE_OPERATION_CALLBACK)&preCall2;

		obst1=ObRegisterCallbacks(&obReg2, &obHandle2);

		return NT_SUCCESS(obst1) & NT_SUCCESS(obst2);

	}

	else

	{

		if(obHandle!=NULL)

			ObUnRegisterCallbacks(obHandle);

		if(obHandle2!=NULL)

			ObUnRegisterCallbacks(obHandle2);

		return TRUE;

	}

}

执行结果:

Win64 驱动内核编程-11.回调监控进线程句柄操作的更多相关文章

  1. Win64 驱动内核编程-12.回调监控进线程创建和退出

    回调监控进线程创建和退出 两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分 ...

  2. Win64 驱动内核编程-14.回调监控文件

    回调监控文件 使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视.但可惜只能在 WIN7X64 上用.因为在 WIN7X64 上 P ...

  3. Win64 驱动内核编程-15.回调监控注册表

    回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 ...

  4. Win64 驱动内核编程-30.枚举与删除线程回调

    枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了.某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出.而线程回调则通常用 ...

  5. Win64 驱动内核编程-13.回调监控模块加载

    回调监控模块加载 模块加载包括用户层模块(.DLL)和内核模块(.SYS)的加载.传统方法要监控这两者加在必须 HOOK 好几个函数,比如 NtCreateSection 和 NtLoadDriver ...

  6. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  7. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  8. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  9. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

随机推荐

  1. Tomcat8弱口令+后台getshell

    漏洞原因 用户权限在conf/tomcat-users.xml文件中配置: <?xml version="1.0" encoding="UTF-8"?&g ...

  2. Codeforces Round #685 (Div. 2)

    待补 A #include <bits/stdc++.h> using namespace std; int n; int main() { int __; scanf("%d& ...

  3. 将表单数据转换成json字符串

    $("#theForm").serialize(); 可以获取表单的数据,但是是json字符串 需要转换成json才能正常使用

  4. 安装JDK9,jemter无法正常启动,怎么退回到JDK8

    安装JDK8,配置环境变量 java -version显示的是8.1 然后安装JDK9之后,java -version显示的是9+8.1 这个时候,无法正常启动jemter 在环境变量中把path的C ...

  5. 【图像处理】OpenCV+Python图像处理入门教程(五)阈值处理

    这篇随笔介绍使用OpenCV进行图像处理的第五章 阈值处理. 5  阈值处理 阈值是指像素到达某临界值.阈值处理表示像素到达某临界值后,对该像素点进行操作和处理. 例如:设定一幅图像素阈值为200,则 ...

  6. 一个软件工程师的硬件修养:ESP8266 入门(普通动感单车-变智能)

    前言 一直在开发软件.今日突然心血来潮想尝试一下硬件. 于是就买了这样一个板子: 买的淘宝上大佬帮忙找的一个套装. 除了板子之外还有一些线和其他配件:温湿度传感器,气压传感器,光线传感器,小屏幕. 板 ...

  7. JAVA题目:小芳的妈妈每天给她2.5元,她都会存起来,但是,每当这一天是存钱的第五题或者5的倍数的话,她都会去用掉6块钱。 问:至少经过多少天可以存到100块?

    1 /*题目:小芳的妈妈每天给她2.5元,她都会存起来, 2 但是,每当这一天是存钱的第五题或者5的倍数的话, 3 她都会去用掉6块钱. 4 问:至少经过多少天可以存到100块? 5 */ 6 /*分 ...

  8. Hadoop学习笔记—HDFS

    目录 搭建安装 三个核心组件 安装 配置环境变量 配置各上述三组件守护进程的相关属性 启停 监控和性能 Hadoop Rack Awareness yarn的NodeManagers监控 命令 hdf ...

  9. 【工程应用一】 多目标多角度的快速模板匹配算法(基于NCC,效果无限接近Halcon中........)

    愿意写代码的人一般都不太愿意去写文章,因为代码方面的艺术和文字中的美学往往很难兼得,两者都兼得的人通常都已经被西方极乐世界所收罗,我也是只喜欢写代码,让那些字母组成美妙的歌曲,然后自我沉浸在其中自得其 ...

  10. 2020牛客NOIP赛前集训营-普及组(第二场)A-面试

    面 试 面试 面试 题目描述 牛牛内推了好多人去牛客网参加面试,面试总共分四轮,每轮的面试官都会对面试者的发挥进行评分.评分有 A B C D 四种.如果面试者在四轮中有一次发挥被评为 D,或者两次发 ...