转载:http://www.voidcn.com/article/p-wulgeluy-bao.html

枚举与删除对象回调

对象回调存储在对应对象结构体里,简单来说,就是存储在 ObjectType. CallbackList 这

个双向链表里。但对象结构体在每个系统上都不一定相同。比如 WIN7X64 的结构体如下:

ntdll!_OBJECT_TYPE

+0x000 TypeList : _LIST_ENTRY

+0x010 Name : _UNICODE_STRING

+0x020 DefaultObject : Ptr64 Void

+0x028 Index : UChar

+0x02c TotalNumberOfObjects : Uint4B

+0x030 TotalNumberOfHandles : Uint4B

+0x034 HighWaterNumberOfObjects : Uint4B

+0x038 HighWaterNumberOfHandles : Uint4B

+0x040 TypeInfo : _OBJECT_TYPE_INITIALIZER

+0x0b0 TypeLock : _EX_PUSH_LOCK

+0x0b8 Key : Uint4B

+0x0c0 CallbackList : _LIST_ENTRY

Object.CallbackList->FLink 指向的地址,是一个结构体链表,它的定义如下:

typedef struct _OB_CALLBACK

{

LIST_ENTRY  ListEntry;

ULONG64 Unknown;

ULONG64 ObHandle;

ULONG64 ObjTypeAddr;

ULONG64 PreCall;

ULONG64 PostCall;

} OB_CALLBACK, *POB_CALLBACK

微软没有公开这个结构体的定义,这个结构体是资料作者逆向出来的。但是至少在 WIN7、WIN8和 WIN8.1 上通用。知道了结构体的定义,枚举就方便了(WINDOWS 目前仅有进程对象回调和线程对象回调,但就算以后有了其它回调,也是通用的):

ULONG EnumObCallbacks()

{

ULONG c=0;

PLIST_ENTRY CurrEntry=NULL;

POB_CALLBACK pObCallback;

BOOLEAN IsTxCallback;

ULONG64 ObProcessCallbackListHead = *(ULONG64*)PsProcessType + ObjectCallbackListOffset;

ULONG64 ObThreadCallbackListHead = *(ULONG64*)PsThreadType + ObjectCallbackListOffset;

//

dprintf("ObProcessCallbackListHead: %p\n",ObProcessCallbackListHead);

CurrEntry=((PLIST_ENTRY)ObProcessCallbackListHead)->Flink;	//list_head的数据是垃圾数据,忽略

do

{

pObCallback=(POB_CALLBACK)CurrEntry;

if(pObCallback->ObHandle!=0)

{

dprintf("ObHandle: %p\n",pObCallback->ObHandle);

dprintf("PreCall: %p\n",pObCallback->PreCall);

dprintf("PostCall: %p\n",pObCallback->PostCall);

c++;

}

CurrEntry = CurrEntry->Flink;

}

while(CurrEntry != (PLIST_ENTRY)ObProcessCallbackListHead);

//

dprintf("ObThreadCallbackListHead: %p\n",ObThreadCallbackListHead);

CurrEntry=((PLIST_ENTRY)ObThreadCallbackListHead)->Flink;	//list_head的数据是垃圾数据,忽略

do

{

pObCallback=(POB_CALLBACK)CurrEntry;

if(pObCallback->ObHandle!=0)

{

dprintf("ObHandle: %p\n",pObCallback->ObHandle);

dprintf("PreCall: %p\n",pObCallback->PreCall);

dprintf("PostCall: %p\n",pObCallback->PostCall);

c++;

}

CurrEntry = CurrEntry->Flink;

}

while(CurrEntry != (PLIST_ENTRY)ObThreadCallbackListHead);

dprintf("ObCallback count: %ld\n",c);

return c;

}

执行结果:

对付对象回调,方法还是老三套

1.用 ObUnRegisterCallbacks 传入 ObHandle 注销回调;

2.把记录的回调函数地址改为自己的设置的空回调;

3.给对方设置的回调函数地址写入 RET。

不过这次使用第三种方法要注意,必须先禁掉 PostCall,再禁用 PreCall,否则容易蓝屏。

完整代码:

#define dprintf				DbgPrint

#define	DEVICE_NAME			L"\\Device\\MyDriver"

#define LINK_NAME			L"\\DosDevices\\MyDriver"

#define LINK_GLOBAL_NAME	L"\\DosDevices\\Global\\MyDriver"

ULONG NtBuildNumber=0;

ULONG ObjectCallbackListOffset=0;

typedef struct _OB_CALLBACK

{

	LIST_ENTRY	ListEntry;

	ULONG64		Unknown;

	ULONG64		ObHandle;

	ULONG64		ObjTypeAddr;

	ULONG64		PreCall;

	ULONG64		PostCall;

} OB_CALLBACK, *POB_CALLBACK;

BOOLEAN GetVersionAndHardCode()

{

	BOOLEAN b=FALSE;

	RTL_OSVERSIONINFOW	osi;

	osi.dwOSVersionInfoSize=sizeof(RTL_OSVERSIONINFOW);

	RtlFillMemory(&osi,sizeof(RTL_OSVERSIONINFOW),0);

	RtlGetVersion(&osi);

	NtBuildNumber=osi.dwBuildNumber;

	DbgPrint("NtBuildNumber: %ld\n",NtBuildNumber);

	switch (NtBuildNumber)

	{

	case 7600:

	case 7601:

	{

		ObjectCallbackListOffset=0xC0;

		b=TRUE;

		break;

	}

	case 9200:

	{

		ObjectCallbackListOffset=0xC8;	//OBJECT_TYPE.CallbackList

		b=TRUE;

		break;

	}

	case 9600:

	{

		ObjectCallbackListOffset=0xC8;	//OBJECT_TYPE.CallbackList

		b=TRUE;

		break;

	}

	default:

		break;

	}

	return b;

}

KIRQL WPOFFx64()

{

	KIRQL irql=KeRaiseIrqlToDpcLevel();

	UINT64 cr0=__readcr0();

	cr0 &= 0xfffffffffffeffff;

	__writecr0(cr0);

	_disable();

	return irql;

}

void WPONx64(KIRQL irql)

{

	UINT64 cr0=__readcr0();

	cr0 |= 0x10000;

	_enable();

	__writecr0(cr0);

	KeLowerIrql(irql);

}

VOID DisableObcallbacks(PVOID Address)

{

	KIRQL irql;

	CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret

	if(!Address)

		return;

	if(MmIsAddressValid(Address))

	{

		irql=WPOFFx64();

		memcpy(Address,patchCode,3);

		WPONx64(irql);

	}

}

ULONG EnumObCallbacks()

{

	ULONG c=0;

	PLIST_ENTRY CurrEntry=NULL;

	POB_CALLBACK pObCallback;

	BOOLEAN IsTxCallback;

	ULONG64 ObProcessCallbackListHead = *(ULONG64*)PsProcessType + ObjectCallbackListOffset;

	ULONG64 ObThreadCallbackListHead = *(ULONG64*)PsThreadType + ObjectCallbackListOffset;

	//

	dprintf("ObProcessCallbackListHead: %p\n",ObProcessCallbackListHead);

	CurrEntry=((PLIST_ENTRY)ObProcessCallbackListHead)->Flink;	//list_head的数据是垃圾数据,忽略

	do

	{

		pObCallback=(POB_CALLBACK)CurrEntry;

		if(pObCallback->ObHandle!=0)

		{

			dprintf("ObHandle: %p\n",pObCallback->ObHandle);

			dprintf("PreCall: %p\n",pObCallback->PreCall);

			dprintf("PostCall: %p\n",pObCallback->PostCall);

			c++;

		}

		CurrEntry = CurrEntry->Flink;

	}

	while(CurrEntry != (PLIST_ENTRY)ObProcessCallbackListHead);

	//

	dprintf("ObThreadCallbackListHead: %p\n",ObThreadCallbackListHead);

	CurrEntry=((PLIST_ENTRY)ObThreadCallbackListHead)->Flink;	//list_head的数据是垃圾数据,忽略

	do

	{

		pObCallback=(POB_CALLBACK)CurrEntry;

		if(pObCallback->ObHandle!=0)

		{

			dprintf("ObHandle: %p\n",pObCallback->ObHandle);

			dprintf("PreCall: %p\n",pObCallback->PreCall);

			dprintf("PostCall: %p\n",pObCallback->PostCall);

			c++;

		}

		CurrEntry = CurrEntry->Flink;

	}

	while(CurrEntry != (PLIST_ENTRY)ObThreadCallbackListHead);

	dprintf("ObCallback count: %ld\n",c);

	return c;

}

Win64 驱动内核编程-33.枚举与删除对象回调的更多相关文章

  1. Win64 驱动内核编程-30.枚举与删除线程回调

    枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了.某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出.而线程回调则通常用 ...

  2. Win64 驱动内核编程-32.枚举与删除注册表回调

    枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果.部分游戏保护还会在注册表回调上做功夫,监控 service ...

  3. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  4. Win64 驱动内核编程-28.枚举消息钩子

    枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之 ...

  5. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  6. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  7. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  8. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  9. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

随机推荐

  1. Httpd服务入门知识-Httpd服务常见配置案例之修改监听的IP和Port

    Httpd服务入门知识-Httpd服务常见配置案例之修改监听的IP和Port 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.查看默认配置 [root@node101.yinzh ...

  2. (05节)快速搭建SSM项目

    1.1  快速搭建Web项目 注意点:name:archetypeCatalog,value:internal 原因:Intellij IDEA根据maven archetype的本质,执行mvn a ...

  3. Pytorch并行计算:nn.parallel.replicate, scatter, gather, parallel_apply

    import torch import torch.nn as nn import ipdb class DataParallelModel(nn.Module): def __init__(self ...

  4. Linux学习24-腾讯云服务器开启swap分区

    前言 最近有小伙伴买的腾讯云的1核1G入门级服务器,发现部署的服务多了后,会自动停掉一些docker的的容器. 新买的腾讯云主机没有提供Swap分区,理由是由于主机经常因为内存使用率过高,频繁使用Sw ...

  5. C++ - STL - map的基础操作

    STL - map常用方法 map简述 map是STL的一个关联容器,它提供一对一(其中第一个可以称为关键字,每个关键字只能在map中出现一次,第二个可能称为该关键字的值)的数据处理能力,其作用类似于 ...

  6. jenkins邮件配置以及邮件添加附件详解

    1.在系统管理-系统设置  中找到邮件配置模块 填写情况如下图 第一步,填写系统管理员邮箱 第二步,填写邮箱配置 第三步,然后在项目中添加邮箱配置 项目中邮件设置中关于附件添加 因为我的项目目录中分3 ...

  7. 转载>>去除inline-block元素间间距的N种方法《重》

    一.现象描述 真正意义上的inline-block水平呈现的元素间,换行显示或空格分隔的情况下会有间距,很简单的个例子: <input /> <input type="su ...

  8. VScode 配置 C++ 环境进行编译和调试

    这里记录为 VScode 配置 C++ 环境的简单步骤,实践环境为 Ubuntu 18.04 ,VScode 1.27 .在 Ubuntu 环境下,系统默认安装 gcc 和 g++ 编译器,故而下列步 ...

  9. singer tap-minio-csv 使用

    使用tap-minio-csv 我们可以将s3 中csv 的文件,通过singer 的target 写到不用的系统中,可以兼容 s3 的存储类型,以下是一个集成minio 的测试,将minio 中的c ...

  10. [HNOI2016]序列 CDQ+DP

    [HNOI2016]序列 CDQ 链接 loj 思路 一个点最小变为l,最大变为r,不变的时候为v 那么j能在i前面就要满足. \(j<i\) \(r[j]<=v[i]\) \(v[j]& ...