转载:http://www.voidcn.com/article/p-wulgeluy-bao.html

枚举与删除对象回调

对象回调存储在对应对象结构体里,简单来说,就是存储在 ObjectType. CallbackList 这

个双向链表里。但对象结构体在每个系统上都不一定相同。比如 WIN7X64 的结构体如下:

ntdll!_OBJECT_TYPE

+0x000 TypeList : _LIST_ENTRY

+0x010 Name : _UNICODE_STRING

+0x020 DefaultObject : Ptr64 Void

+0x028 Index : UChar

+0x02c TotalNumberOfObjects : Uint4B

+0x030 TotalNumberOfHandles : Uint4B

+0x034 HighWaterNumberOfObjects : Uint4B

+0x038 HighWaterNumberOfHandles : Uint4B

+0x040 TypeInfo : _OBJECT_TYPE_INITIALIZER

+0x0b0 TypeLock : _EX_PUSH_LOCK

+0x0b8 Key : Uint4B

+0x0c0 CallbackList : _LIST_ENTRY

Object.CallbackList->FLink 指向的地址,是一个结构体链表,它的定义如下:

typedef struct _OB_CALLBACK

{

LIST_ENTRY  ListEntry;

ULONG64 Unknown;

ULONG64 ObHandle;

ULONG64 ObjTypeAddr;

ULONG64 PreCall;

ULONG64 PostCall;

} OB_CALLBACK, *POB_CALLBACK

微软没有公开这个结构体的定义,这个结构体是资料作者逆向出来的。但是至少在 WIN7、WIN8和 WIN8.1 上通用。知道了结构体的定义,枚举就方便了(WINDOWS 目前仅有进程对象回调和线程对象回调,但就算以后有了其它回调,也是通用的):

ULONG EnumObCallbacks()

{

ULONG c=0;

PLIST_ENTRY CurrEntry=NULL;

POB_CALLBACK pObCallback;

BOOLEAN IsTxCallback;

ULONG64 ObProcessCallbackListHead = *(ULONG64*)PsProcessType + ObjectCallbackListOffset;

ULONG64 ObThreadCallbackListHead = *(ULONG64*)PsThreadType + ObjectCallbackListOffset;

//

dprintf("ObProcessCallbackListHead: %p\n",ObProcessCallbackListHead);

CurrEntry=((PLIST_ENTRY)ObProcessCallbackListHead)->Flink;	//list_head的数据是垃圾数据,忽略

do

{

pObCallback=(POB_CALLBACK)CurrEntry;

if(pObCallback->ObHandle!=0)

{

dprintf("ObHandle: %p\n",pObCallback->ObHandle);

dprintf("PreCall: %p\n",pObCallback->PreCall);

dprintf("PostCall: %p\n",pObCallback->PostCall);

c++;

}

CurrEntry = CurrEntry->Flink;

}

while(CurrEntry != (PLIST_ENTRY)ObProcessCallbackListHead);

//

dprintf("ObThreadCallbackListHead: %p\n",ObThreadCallbackListHead);

CurrEntry=((PLIST_ENTRY)ObThreadCallbackListHead)->Flink;	//list_head的数据是垃圾数据,忽略

do

{

pObCallback=(POB_CALLBACK)CurrEntry;

if(pObCallback->ObHandle!=0)

{

dprintf("ObHandle: %p\n",pObCallback->ObHandle);

dprintf("PreCall: %p\n",pObCallback->PreCall);

dprintf("PostCall: %p\n",pObCallback->PostCall);

c++;

}

CurrEntry = CurrEntry->Flink;

}

while(CurrEntry != (PLIST_ENTRY)ObThreadCallbackListHead);

dprintf("ObCallback count: %ld\n",c);

return c;

}

执行结果:

对付对象回调,方法还是老三套

1.用 ObUnRegisterCallbacks 传入 ObHandle 注销回调;

2.把记录的回调函数地址改为自己的设置的空回调;

3.给对方设置的回调函数地址写入 RET。

不过这次使用第三种方法要注意,必须先禁掉 PostCall,再禁用 PreCall,否则容易蓝屏。

完整代码:

#define dprintf				DbgPrint

#define	DEVICE_NAME			L"\\Device\\MyDriver"

#define LINK_NAME			L"\\DosDevices\\MyDriver"

#define LINK_GLOBAL_NAME	L"\\DosDevices\\Global\\MyDriver"

ULONG NtBuildNumber=0;

ULONG ObjectCallbackListOffset=0;

typedef struct _OB_CALLBACK

{

	LIST_ENTRY	ListEntry;

	ULONG64		Unknown;

	ULONG64		ObHandle;

	ULONG64		ObjTypeAddr;

	ULONG64		PreCall;

	ULONG64		PostCall;

} OB_CALLBACK, *POB_CALLBACK;

BOOLEAN GetVersionAndHardCode()

{

	BOOLEAN b=FALSE;

	RTL_OSVERSIONINFOW	osi;

	osi.dwOSVersionInfoSize=sizeof(RTL_OSVERSIONINFOW);

	RtlFillMemory(&osi,sizeof(RTL_OSVERSIONINFOW),0);

	RtlGetVersion(&osi);

	NtBuildNumber=osi.dwBuildNumber;

	DbgPrint("NtBuildNumber: %ld\n",NtBuildNumber);

	switch (NtBuildNumber)

	{

	case 7600:

	case 7601:

	{

		ObjectCallbackListOffset=0xC0;

		b=TRUE;

		break;

	}

	case 9200:

	{

		ObjectCallbackListOffset=0xC8;	//OBJECT_TYPE.CallbackList

		b=TRUE;

		break;

	}

	case 9600:

	{

		ObjectCallbackListOffset=0xC8;	//OBJECT_TYPE.CallbackList

		b=TRUE;

		break;

	}

	default:

		break;

	}

	return b;

}

KIRQL WPOFFx64()

{

	KIRQL irql=KeRaiseIrqlToDpcLevel();

	UINT64 cr0=__readcr0();

	cr0 &= 0xfffffffffffeffff;

	__writecr0(cr0);

	_disable();

	return irql;

}

void WPONx64(KIRQL irql)

{

	UINT64 cr0=__readcr0();

	cr0 |= 0x10000;

	_enable();

	__writecr0(cr0);

	KeLowerIrql(irql);

}

VOID DisableObcallbacks(PVOID Address)

{

	KIRQL irql;

	CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret

	if(!Address)

		return;

	if(MmIsAddressValid(Address))

	{

		irql=WPOFFx64();

		memcpy(Address,patchCode,3);

		WPONx64(irql);

	}

}

ULONG EnumObCallbacks()

{

	ULONG c=0;

	PLIST_ENTRY CurrEntry=NULL;

	POB_CALLBACK pObCallback;

	BOOLEAN IsTxCallback;

	ULONG64 ObProcessCallbackListHead = *(ULONG64*)PsProcessType + ObjectCallbackListOffset;

	ULONG64 ObThreadCallbackListHead = *(ULONG64*)PsThreadType + ObjectCallbackListOffset;

	//

	dprintf("ObProcessCallbackListHead: %p\n",ObProcessCallbackListHead);

	CurrEntry=((PLIST_ENTRY)ObProcessCallbackListHead)->Flink;	//list_head的数据是垃圾数据,忽略

	do

	{

		pObCallback=(POB_CALLBACK)CurrEntry;

		if(pObCallback->ObHandle!=0)

		{

			dprintf("ObHandle: %p\n",pObCallback->ObHandle);

			dprintf("PreCall: %p\n",pObCallback->PreCall);

			dprintf("PostCall: %p\n",pObCallback->PostCall);

			c++;

		}

		CurrEntry = CurrEntry->Flink;

	}

	while(CurrEntry != (PLIST_ENTRY)ObProcessCallbackListHead);

	//

	dprintf("ObThreadCallbackListHead: %p\n",ObThreadCallbackListHead);

	CurrEntry=((PLIST_ENTRY)ObThreadCallbackListHead)->Flink;	//list_head的数据是垃圾数据,忽略

	do

	{

		pObCallback=(POB_CALLBACK)CurrEntry;

		if(pObCallback->ObHandle!=0)

		{

			dprintf("ObHandle: %p\n",pObCallback->ObHandle);

			dprintf("PreCall: %p\n",pObCallback->PreCall);

			dprintf("PostCall: %p\n",pObCallback->PostCall);

			c++;

		}

		CurrEntry = CurrEntry->Flink;

	}

	while(CurrEntry != (PLIST_ENTRY)ObThreadCallbackListHead);

	dprintf("ObCallback count: %ld\n",c);

	return c;

}

Win64 驱动内核编程-33.枚举与删除对象回调的更多相关文章

  1. Win64 驱动内核编程-30.枚举与删除线程回调

    枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了.某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出.而线程回调则通常用 ...

  2. Win64 驱动内核编程-32.枚举与删除注册表回调

    枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果.部分游戏保护还会在注册表回调上做功夫,监控 service ...

  3. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  4. Win64 驱动内核编程-28.枚举消息钩子

    枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之 ...

  5. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  6. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  7. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  8. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  9. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

随机推荐

  1. [2019.05.09]Linux 学习笔记(3)

    最近的心得: CLI真好用,GUI就是渣渣 1. Bash 里面的命令是可以起别名的,起一个别名的方法是 alias [Alias]=[command] command可以是任意长的别名,比如 ali ...

  2. JavaWeb项目前后端分离

    前戏   前后端分离已成为互联网项目开发的业界标准使用方式,通过nginx+tomcat的方式(也可以中间加一个nodejs)有效的进行解耦, 并且前后端分离会为以后的大型分布式架构.弹性计算架构.微 ...

  3. (转!)MySql Host is blocked because of many connection errors; unblock with 'mysqladmin flush-hosts' 解决方法

    不要贪快,以你的聪明,只要有耐心,什么事不成,你真的争口气,羞羞这势利的世界也好! --久节奏,慢读书 转自:https://www.cnblogs.com/susuyu/archive/2013/0 ...

  4. excel打开提示 文件格式和扩展名不匹配。文件可能已损坏或不安全。除非您信任其来源,否则请勿打开。是否仍要打开它?

    有的时候打开xls文档时,会提示“文件格式和扩展名不匹配.文件可能已损坏或不安全.除非您信任其来源,否则请勿打开.是否仍要打开它?” 遇到这种情况,我们需要 打开“注册表编辑器” win键+R键,打开 ...

  5. mybatis include refid="Base_Column_List"含义

    <sql id="Base_Column_List" > collegeID, collegeName </sql> <select id=" ...

  6. (尚029)Vue_案例_交互footer组件功能

    需要实现界面截图: 难点分析:sAllCheck必须定义为计算属性 1.想到问题: 一旦写一个组件,需要接收哪些属性?? 因为只有属性确定了,标签才好写 todos属性可以确定三个方面的显示 2.做交 ...

  7. JS的ES6的Generator

    JS的ES6的Generator 1.Generator函数的概念: ES6提供的解决异步编程的方案之一,现在已经不怎么用了被淘汰了. Generator函数是一个状态机,内部封装了不同状态的数据. ...

  8. stack的简单用法总结

    stack中常见方法 top():返回一个栈顶元素的引用,类型为 T&.如果栈为空,返回值未定义. push(const T& obj):可以将对象副本压入栈顶.这是通过调用底层容器的 ...

  9. C语言中常见的图形打印总结

    直角三角形(靠右直立) 示例实现代码如下: int main(){ int n; int i,j; cin >> n; if(n<= 0){ cout << " ...

  10. python爬虫出现ProxyError: HTTPSConnectionPool错误

    在今天刚刚打开pycharm运行爬虫时,发现所有的爬虫都不能运行,会出现如下的错误: 错误出现的主要原因是;代理错误(其实自己根本没有设置代理) 解决方法: 在网上查阅了许多类似的错误解决方法,试过后 ...