枚举与删除注册表回调

注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果。部分游戏保护还会在注册表回调上做功夫,监控 service

键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等 HIPS 类软件里,则用来监控自启动等键值。

注册表回调在 XP 系统上貌似是一个数组,但是从 WINDOWS 2003 开始,就变成了一个链表。这个链表的头称为 CallbackListHead,可在 CmUnRegisterCallback 中找到:

搜索的过程跟寻找进程、线程、映像的数组类似,根据 lea REG,XXX 来定位。不过为了更加精准,这次资料中是采用两次 lea REG,XXX 来定位:

ULONG64 FindCmpCallbackAfterXP()

{

ULONG64	uiAddress=0;

PUCHAR	pCheckArea=NULL, i=0, j=0, StartAddress=0, EndAddress=0;

ULONG64	dwCheckAddr=0;

UNICODE_STRING	unstrFunc;

UCHAR b1=0,b2=0,b3=0;

ULONG templong=0,QuadPart=0xfffff800;

RtlInitUnicodeString(&unstrFunc, L"CmUnRegisterCallback");

pCheckArea = (UCHAR*)MmGetSystemRoutineAddress (&unstrFunc) ;

if (!pCheckArea)

{

KdPrint(("MmGetSystemRoutineAddress failed."));

return 0;

}

StartAddress = (PUCHAR)pCheckArea;

EndAddress = (PUCHAR)pCheckArea + PAGE_SIZE;

for(i=StartAddress;i<EndAddress;i++)

{

if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )

{

b1=*i;

b2=*(i+1);

b3=*(i+2);

if( b1==0x48 && b2==0x8d && b3==0x0d ) //488d0d(lea rcx,)

{

j=i-5;

b1=*j;

b2=*(j+1);

b3=*(j+2);

if( b1==0x48 && b2==0x8d && b3==0x54 ) //488d54(lea rdx,)

{

memcpy(&templong,i+3,4);

uiAddress = MakeLong64ByLong32(templong) + (ULONGLONG)i + 7;

return uiAddress;

}

}

}

}

return 0;

}

定位完毕之后,就是枚举链表了。注册表回调是一个“结构体链表”,类似于 EPROCESS,它的定义如下:

typedef struct _CM_NOTIFY_ENTRY

{

LIST_ENTRY	ListEntryHead;

ULONG	UnKnown1;

ULONG	UnKnown2;

LARGE_INTEGER	Cookie;

ULONG64	Context;

ULONG64	Function;

}CM_NOTIFY_ENTRY, *PCM_NOTIFY_ENTRY;

我们只关心两个值,一个是 Cookie,一个是 Function。前者可以理解成注册表回调的“句柄”(用 CmUnRegisterCallback 注销回调传入的就是这个 Cookie),后者是回调函数的地址。代码如下:

ULONG CountCmpCallbackAfterXP(ULONG64* pPspLINotifyRoutine)

{

ULONG	sum = 0;

ULONG64	dwNotifyItemAddr;

ULONG64*	pNotifyFun;

ULONG64*	baseNotifyAddr;

ULONG64	dwNotifyFun;

LARGE_INTEGER	cmpCookie;

PLIST_ENTRY	notifyList;

PCM_NOTIFY_ENTRY	notify;

dwNotifyItemAddr = *pPspLINotifyRoutine;

notifyList = (LIST_ENTRY *)dwNotifyItemAddr;

do

{

notify = (CM_NOTIFY_ENTRY *)notifyList;

if (MmIsAddressValid(notify))

{

if (MmIsAddressValid((PVOID)(notify->Function)) && notify->Function > 0x8000000000000000)

{

DbgPrint("[CmCallback]Function=%p\tCookie=%p", (PVOID)(notify->Function),(PVOID)(notify->Cookie.QuadPart));

//notify->Function=(ULONG64)MyRegistryCallback;

sum ++;

}

}

notifyList = notifyList->Flink;

}while ( notifyList != ((LIST_ENTRY*)(*pPspLINotifyRoutine)) );

return sum;

}

执行效果(在有360的机器上执行的):

对付注册表回调有三种方法:

1.直接使用CmUnRegisterCallback 把回调注销;

2.把链表中记录的回调地址修改为自定义的空函数的回调地址;

3.直接在目标回调地址上写一个 RET,使其不执行任何代码就返回。 第三种 方法 没有针对性,可以用于对付 任何 回调函数。DisableFunctionWithReturnValue 用来对付有返回值的回调函数,DisableFunctionWithoutReturnValue 用于对付无返回值的回调函数。

/*

给函数头写RET废除函数功能,这份代码可以用于对抗任意回调函数,但仅限于WIN64系统。

DisableFunctionWithReturnValue用于有返回值的回调

DisableFunctionWithoutReturnValue用于无返回值的回调

*/

KIRQL WPOFFx64()

{

KIRQL irql=KeRaiseIrqlToDpcLevel();

UINT64 cr0=__readcr0();

cr0 &= 0xfffffffffffeffff;

__writecr0(cr0);

_disable();

return irql;

}

void WPONx64(KIRQL irql)

{

UINT64 cr0=__readcr0();

cr0 |= 0x10000;

_enable();

__writecr0(cr0);

KeLowerIrql(irql);

}

VOID DisableFunctionWithReturnValue(PVOID Address)

{

KIRQL irql;

CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

memcpy(Address,patchCode,3);

WPONx64(irql);

}

}

VOID DisableFunctionWithoutReturnValue(PVOID Address)

{

KIRQL irql;

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

RtlFillMemory(Address,1,0xC3);

WPONx64(irql);

}

}

代码备份:win7 X64

typedef struct _CM_NOTIFY_ENTRY

{

LIST_ENTRY	ListEntryHead;

ULONG	UnKnown1;

ULONG	UnKnown2;

LARGE_INTEGER	Cookie;

ULONG64	Context;

ULONG64	Function;

}CM_NOTIFY_ENTRY, *PCM_NOTIFY_ENTRY;

LARGE_INTEGER Cookie;

ULONG64 CmCallbackListHead=0;

NTSTATUS MyRegistryCallback(

    IN PVOID CallbackContext,

    IN PVOID Argument1,

    IN PVOID Argument2

    )

{

return STATUS_SUCCESS;

}

ULONG CountCmpCallbackAfterXP(ULONG64* pPspLINotifyRoutine)

{

ULONG	sum = 0;

ULONG64	dwNotifyItemAddr;

ULONG64*	pNotifyFun;

ULONG64*	baseNotifyAddr;

ULONG64	dwNotifyFun;

LARGE_INTEGER	cmpCookie;

PLIST_ENTRY	notifyList;

PCM_NOTIFY_ENTRY	notify;

dwNotifyItemAddr = *pPspLINotifyRoutine;

notifyList = (LIST_ENTRY *)dwNotifyItemAddr;

do

{

notify = (CM_NOTIFY_ENTRY *)notifyList;

if (MmIsAddressValid(notify))

{

if (MmIsAddressValid((PVOID)(notify->Function)) && notify->Function > 0x8000000000000000)

{

DbgPrint("[CmCallback]Function=%p\tCookie=%p", (PVOID)(notify->Function),(PVOID)(notify->Cookie.QuadPart));

//notify->Function=(ULONG64)MyRegistryCallback;

sum ++;

}

}

notifyList = notifyList->Flink;

}while ( notifyList != ((LIST_ENTRY*)(*pPspLINotifyRoutine)) );

return sum;

}

LONG64 MakeLong64ByLong32(LONG lng32)

{

LONG64 lng64=0;

if(lng32>0)

{

lng64=(LONG64)lng32;

}

else

{

lng64=0xffffffffffffffff;

memcpy(&lng64,&lng32,4);

}

return lng64;

}

ULONG64 FindCmpCallbackAfterXP()

{

ULONG64	uiAddress=0;

PUCHAR	pCheckArea=NULL, i=0, j=0, StartAddress=0, EndAddress=0;

ULONG64	dwCheckAddr=0;

UNICODE_STRING	unstrFunc;

UCHAR b1=0,b2=0,b3=0;

ULONG templong=0,QuadPart=0xfffff800;

RtlInitUnicodeString(&unstrFunc, L"CmUnRegisterCallback");

pCheckArea = (UCHAR*)MmGetSystemRoutineAddress (&unstrFunc) ;

if (!pCheckArea)

{

KdPrint(("MmGetSystemRoutineAddress failed."));

return 0;

}

StartAddress = (PUCHAR)pCheckArea;

EndAddress = (PUCHAR)pCheckArea + PAGE_SIZE;

for(i=StartAddress;i<EndAddress;i++)

{

if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )

{

b1=*i;

b2=*(i+1);

b3=*(i+2);

if( b1==0x48 && b2==0x8d && b3==0x0d ) //488d0d(lea rcx,)

{

j=i-5;

b1=*j;

b2=*(j+1);

b3=*(j+2);

if( b1==0x48 && b2==0x8d && b3==0x54 ) //488d54(lea rdx,)

{

memcpy(&templong,i+3,4);

uiAddress = MakeLong64ByLong32(templong) + (ULONGLONG)i + 7;

return uiAddress;

}

}

}

}

return 0;

}

void EnumCmCallback64()

{

//test to add my reg callback

CmRegisterCallback(MyRegistryCallback, NULL, &Cookie);

DbgPrint("[MY FUNCTION]: %p",(PVOID)MyRegistryCallback);

DbgPrint("[MY COOKIE]: %p",(PVOID)Cookie.QuadPart);

//get CmCallbackListHead address

CmCallbackListHead=FindCmpCallbackAfterXP();

DbgPrint("CmCallbackListHead: %p",(PVOID)CmCallbackListHead);

//enum callback address

CountCmpCallbackAfterXP((ULONG64*)CmCallbackListHead);

//unregister my callback

CmUnRegisterCallback(Cookie);

}

/*

给函数头写RET废除函数功能,这份代码可以用于对抗任意回调函数,但仅限于WIN64系统。

DisableFunctionWithReturnValue用于有返回值的回调

DisableFunctionWithoutReturnValue用于无返回值的回调

*/

KIRQL WPOFFx64()

{

KIRQL irql=KeRaiseIrqlToDpcLevel();

UINT64 cr0=__readcr0();

cr0 &= 0xfffffffffffeffff;

__writecr0(cr0);

_disable();

return irql;

}

void WPONx64(KIRQL irql)

{

UINT64 cr0=__readcr0();

cr0 |= 0x10000;

_enable();

__writecr0(cr0);

KeLowerIrql(irql);

}

VOID DisableFunctionWithReturnValue(PVOID Address)

{

KIRQL irql;

CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

memcpy(Address,patchCode,3);

WPONx64(irql);

}

}

VOID DisableFunctionWithoutReturnValue(PVOID Address)

{

KIRQL irql;

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

RtlFillMemory(Address,1,0xC3);

WPONx64(irql);

}

}

宋孖健,13

Win64 驱动内核编程-32.枚举与删除注册表回调的更多相关文章

  1. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  2. Win64 驱动内核编程-30.枚举与删除线程回调

    枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了.某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出.而线程回调则通常用 ...

  3. Win64 驱动内核编程-33.枚举与删除对象回调

    转载:http://www.voidcn.com/article/p-wulgeluy-bao.html 枚举与删除对象回调 对象回调存储在对应对象结构体里,简单来说,就是存储在 ObjectType ...

  4. Win64 驱动内核编程-28.枚举消息钩子

    枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之 ...

  5. Win64 驱动内核编程-15.回调监控注册表

    回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 ...

  6. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  7. Win64 驱动内核编程-11.回调监控进线程句柄操作

    无HOOK监控进线程句柄操作 在 NT5 平台下,要监控进线程句柄的操作. 通常要挂钩三个API:NtOpenProcess.NtOpenThread.NtDuplicateObject.但是在 VI ...

  8. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  9. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

随机推荐

  1. Java 基础加强 02

    基础加强·反射 和 枚举 类的加载概述和加载时机 * A:类的加载概述 * 当程序要使用某个类时,如果该类还未被加载到内存中,则系统会通过加载.连接.初始化来实现对这个类的初始化 * 加载 * 就是指 ...

  2. GTID介绍

    从MySQL5.6开始增加GTID这个特性,Global Transaction ID,全局事务ID,用来强化主从数据库的一致性,故障恢复,以及容错能力,来替代传统的人工的主从复制: 有了GTID,在 ...

  3. Memory Networks02 记忆网络经典论文

    目录 1 Recurrent Entity Network Introduction 模型构建 Input Encoder Dynamic Memory Output Model 总结 2 hiera ...

  4. java异常的 理解

    1.体系结构 java.lang.Object |----java.lang.Throwable |-------java.lang.Error:错误,java程序对此无能为力,不显式的处理 |--- ...

  5. 使用dcmtk库读取.dcm文件并获取信息+使用OpenCV显示图像

    借助VS2013和OpenCV的绘图功能,在工程DICOMReader.sln中实现了对单张.dcm图像的读取与显示,以下是详细步骤. 前期准备工作 编译器:VS2013 库:dcmtk-3.6.0( ...

  6. 2018ICPC南京I. Magic Potion

    题目: 题意:n个士兵打m个怪兽,每个士兵只能打一个,但是如果有魔法药水就可多打一个问最多能打几个. 题解:如果没有魔法药就是一道裸二分图,因为现在有魔法要我们可以这样建图: 多建一个i+n的节点存放 ...

  7. java中的String,StringBuffer与StringBuilder

    String类是不可变类,即一旦一个String对象被创建以后,包含在这个对象中的字符序列是不可改变的,直至这个对象被销毁. StringBuffer对象则代表一个字符序列可变的字符串,当一个Stri ...

  8. Java系列教程-Spring 教程目录

    Spring 教程目录 可参考MyBatis的官方文档也比较清楚 https://mybatis.org/mybatis-3/zh/getting-started.html 代码 目录 https:/ ...

  9. 图解 | 原来这就是 IO 多路复用

    为了讲多路复用,当然还是要跟风,采用鞭尸的思路,先讲讲传统的网络 IO 的弊端,用拉踩的方式捧起多路复用 IO 的优势. 为了方便理解,以下所有代码都是伪代码,知道其表达的意思即可. Let's go ...

  10. Python基础之数据类型详解

    为什么会有数据类型? 在介绍具体的数据类型之前,需要了解为什么需要区分数据类型.我们知道,一个公司会有很多个大的部门,每个部门下又会有许多细分的小部门,构成了公司的完整体系结构.如果把python的数 ...