枚举与删除注册表回调

注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果。部分游戏保护还会在注册表回调上做功夫,监控 service

键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等 HIPS 类软件里,则用来监控自启动等键值。

注册表回调在 XP 系统上貌似是一个数组,但是从 WINDOWS 2003 开始,就变成了一个链表。这个链表的头称为 CallbackListHead,可在 CmUnRegisterCallback 中找到:

搜索的过程跟寻找进程、线程、映像的数组类似,根据 lea REG,XXX 来定位。不过为了更加精准,这次资料中是采用两次 lea REG,XXX 来定位:

ULONG64 FindCmpCallbackAfterXP()

{

ULONG64	uiAddress=0;

PUCHAR	pCheckArea=NULL, i=0, j=0, StartAddress=0, EndAddress=0;

ULONG64	dwCheckAddr=0;

UNICODE_STRING	unstrFunc;

UCHAR b1=0,b2=0,b3=0;

ULONG templong=0,QuadPart=0xfffff800;

RtlInitUnicodeString(&unstrFunc, L"CmUnRegisterCallback");

pCheckArea = (UCHAR*)MmGetSystemRoutineAddress (&unstrFunc) ;

if (!pCheckArea)

{

KdPrint(("MmGetSystemRoutineAddress failed."));

return 0;

}

StartAddress = (PUCHAR)pCheckArea;

EndAddress = (PUCHAR)pCheckArea + PAGE_SIZE;

for(i=StartAddress;i<EndAddress;i++)

{

if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )

{

b1=*i;

b2=*(i+1);

b3=*(i+2);

if( b1==0x48 && b2==0x8d && b3==0x0d ) //488d0d(lea rcx,)

{

j=i-5;

b1=*j;

b2=*(j+1);

b3=*(j+2);

if( b1==0x48 && b2==0x8d && b3==0x54 ) //488d54(lea rdx,)

{

memcpy(&templong,i+3,4);

uiAddress = MakeLong64ByLong32(templong) + (ULONGLONG)i + 7;

return uiAddress;

}

}

}

}

return 0;

}

定位完毕之后,就是枚举链表了。注册表回调是一个“结构体链表”,类似于 EPROCESS,它的定义如下:

typedef struct _CM_NOTIFY_ENTRY

{

LIST_ENTRY	ListEntryHead;

ULONG	UnKnown1;

ULONG	UnKnown2;

LARGE_INTEGER	Cookie;

ULONG64	Context;

ULONG64	Function;

}CM_NOTIFY_ENTRY, *PCM_NOTIFY_ENTRY;

我们只关心两个值,一个是 Cookie,一个是 Function。前者可以理解成注册表回调的“句柄”(用 CmUnRegisterCallback 注销回调传入的就是这个 Cookie),后者是回调函数的地址。代码如下:

ULONG CountCmpCallbackAfterXP(ULONG64* pPspLINotifyRoutine)

{

ULONG	sum = 0;

ULONG64	dwNotifyItemAddr;

ULONG64*	pNotifyFun;

ULONG64*	baseNotifyAddr;

ULONG64	dwNotifyFun;

LARGE_INTEGER	cmpCookie;

PLIST_ENTRY	notifyList;

PCM_NOTIFY_ENTRY	notify;

dwNotifyItemAddr = *pPspLINotifyRoutine;

notifyList = (LIST_ENTRY *)dwNotifyItemAddr;

do

{

notify = (CM_NOTIFY_ENTRY *)notifyList;

if (MmIsAddressValid(notify))

{

if (MmIsAddressValid((PVOID)(notify->Function)) && notify->Function > 0x8000000000000000)

{

DbgPrint("[CmCallback]Function=%p\tCookie=%p", (PVOID)(notify->Function),(PVOID)(notify->Cookie.QuadPart));

//notify->Function=(ULONG64)MyRegistryCallback;

sum ++;

}

}

notifyList = notifyList->Flink;

}while ( notifyList != ((LIST_ENTRY*)(*pPspLINotifyRoutine)) );

return sum;

}

执行效果(在有360的机器上执行的):

对付注册表回调有三种方法:

1.直接使用CmUnRegisterCallback 把回调注销;

2.把链表中记录的回调地址修改为自定义的空函数的回调地址;

3.直接在目标回调地址上写一个 RET,使其不执行任何代码就返回。 第三种 方法 没有针对性,可以用于对付 任何 回调函数。DisableFunctionWithReturnValue 用来对付有返回值的回调函数,DisableFunctionWithoutReturnValue 用于对付无返回值的回调函数。

/*

给函数头写RET废除函数功能,这份代码可以用于对抗任意回调函数,但仅限于WIN64系统。

DisableFunctionWithReturnValue用于有返回值的回调

DisableFunctionWithoutReturnValue用于无返回值的回调

*/

KIRQL WPOFFx64()

{

KIRQL irql=KeRaiseIrqlToDpcLevel();

UINT64 cr0=__readcr0();

cr0 &= 0xfffffffffffeffff;

__writecr0(cr0);

_disable();

return irql;

}

void WPONx64(KIRQL irql)

{

UINT64 cr0=__readcr0();

cr0 |= 0x10000;

_enable();

__writecr0(cr0);

KeLowerIrql(irql);

}

VOID DisableFunctionWithReturnValue(PVOID Address)

{

KIRQL irql;

CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

memcpy(Address,patchCode,3);

WPONx64(irql);

}

}

VOID DisableFunctionWithoutReturnValue(PVOID Address)

{

KIRQL irql;

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

RtlFillMemory(Address,1,0xC3);

WPONx64(irql);

}

}

代码备份:win7 X64

typedef struct _CM_NOTIFY_ENTRY

{

LIST_ENTRY	ListEntryHead;

ULONG	UnKnown1;

ULONG	UnKnown2;

LARGE_INTEGER	Cookie;

ULONG64	Context;

ULONG64	Function;

}CM_NOTIFY_ENTRY, *PCM_NOTIFY_ENTRY;

LARGE_INTEGER Cookie;

ULONG64 CmCallbackListHead=0;

NTSTATUS MyRegistryCallback(

    IN PVOID CallbackContext,

    IN PVOID Argument1,

    IN PVOID Argument2

    )

{

return STATUS_SUCCESS;

}

ULONG CountCmpCallbackAfterXP(ULONG64* pPspLINotifyRoutine)

{

ULONG	sum = 0;

ULONG64	dwNotifyItemAddr;

ULONG64*	pNotifyFun;

ULONG64*	baseNotifyAddr;

ULONG64	dwNotifyFun;

LARGE_INTEGER	cmpCookie;

PLIST_ENTRY	notifyList;

PCM_NOTIFY_ENTRY	notify;

dwNotifyItemAddr = *pPspLINotifyRoutine;

notifyList = (LIST_ENTRY *)dwNotifyItemAddr;

do

{

notify = (CM_NOTIFY_ENTRY *)notifyList;

if (MmIsAddressValid(notify))

{

if (MmIsAddressValid((PVOID)(notify->Function)) && notify->Function > 0x8000000000000000)

{

DbgPrint("[CmCallback]Function=%p\tCookie=%p", (PVOID)(notify->Function),(PVOID)(notify->Cookie.QuadPart));

//notify->Function=(ULONG64)MyRegistryCallback;

sum ++;

}

}

notifyList = notifyList->Flink;

}while ( notifyList != ((LIST_ENTRY*)(*pPspLINotifyRoutine)) );

return sum;

}

LONG64 MakeLong64ByLong32(LONG lng32)

{

LONG64 lng64=0;

if(lng32>0)

{

lng64=(LONG64)lng32;

}

else

{

lng64=0xffffffffffffffff;

memcpy(&lng64,&lng32,4);

}

return lng64;

}

ULONG64 FindCmpCallbackAfterXP()

{

ULONG64	uiAddress=0;

PUCHAR	pCheckArea=NULL, i=0, j=0, StartAddress=0, EndAddress=0;

ULONG64	dwCheckAddr=0;

UNICODE_STRING	unstrFunc;

UCHAR b1=0,b2=0,b3=0;

ULONG templong=0,QuadPart=0xfffff800;

RtlInitUnicodeString(&unstrFunc, L"CmUnRegisterCallback");

pCheckArea = (UCHAR*)MmGetSystemRoutineAddress (&unstrFunc) ;

if (!pCheckArea)

{

KdPrint(("MmGetSystemRoutineAddress failed."));

return 0;

}

StartAddress = (PUCHAR)pCheckArea;

EndAddress = (PUCHAR)pCheckArea + PAGE_SIZE;

for(i=StartAddress;i<EndAddress;i++)

{

if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )

{

b1=*i;

b2=*(i+1);

b3=*(i+2);

if( b1==0x48 && b2==0x8d && b3==0x0d ) //488d0d(lea rcx,)

{

j=i-5;

b1=*j;

b2=*(j+1);

b3=*(j+2);

if( b1==0x48 && b2==0x8d && b3==0x54 ) //488d54(lea rdx,)

{

memcpy(&templong,i+3,4);

uiAddress = MakeLong64ByLong32(templong) + (ULONGLONG)i + 7;

return uiAddress;

}

}

}

}

return 0;

}

void EnumCmCallback64()

{

//test to add my reg callback

CmRegisterCallback(MyRegistryCallback, NULL, &Cookie);

DbgPrint("[MY FUNCTION]: %p",(PVOID)MyRegistryCallback);

DbgPrint("[MY COOKIE]: %p",(PVOID)Cookie.QuadPart);

//get CmCallbackListHead address

CmCallbackListHead=FindCmpCallbackAfterXP();

DbgPrint("CmCallbackListHead: %p",(PVOID)CmCallbackListHead);

//enum callback address

CountCmpCallbackAfterXP((ULONG64*)CmCallbackListHead);

//unregister my callback

CmUnRegisterCallback(Cookie);

}

/*

给函数头写RET废除函数功能,这份代码可以用于对抗任意回调函数,但仅限于WIN64系统。

DisableFunctionWithReturnValue用于有返回值的回调

DisableFunctionWithoutReturnValue用于无返回值的回调

*/

KIRQL WPOFFx64()

{

KIRQL irql=KeRaiseIrqlToDpcLevel();

UINT64 cr0=__readcr0();

cr0 &= 0xfffffffffffeffff;

__writecr0(cr0);

_disable();

return irql;

}

void WPONx64(KIRQL irql)

{

UINT64 cr0=__readcr0();

cr0 |= 0x10000;

_enable();

__writecr0(cr0);

KeLowerIrql(irql);

}

VOID DisableFunctionWithReturnValue(PVOID Address)

{

KIRQL irql;

CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

memcpy(Address,patchCode,3);

WPONx64(irql);

}

}

VOID DisableFunctionWithoutReturnValue(PVOID Address)

{

KIRQL irql;

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

RtlFillMemory(Address,1,0xC3);

WPONx64(irql);

}

}

宋孖健,13

Win64 驱动内核编程-32.枚举与删除注册表回调的更多相关文章

  1. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  2. Win64 驱动内核编程-30.枚举与删除线程回调

    枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了.某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出.而线程回调则通常用 ...

  3. Win64 驱动内核编程-33.枚举与删除对象回调

    转载:http://www.voidcn.com/article/p-wulgeluy-bao.html 枚举与删除对象回调 对象回调存储在对应对象结构体里,简单来说,就是存储在 ObjectType ...

  4. Win64 驱动内核编程-28.枚举消息钩子

    枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之 ...

  5. Win64 驱动内核编程-15.回调监控注册表

    回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 ...

  6. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  7. Win64 驱动内核编程-11.回调监控进线程句柄操作

    无HOOK监控进线程句柄操作 在 NT5 平台下,要监控进线程句柄的操作. 通常要挂钩三个API:NtOpenProcess.NtOpenThread.NtDuplicateObject.但是在 VI ...

  8. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  9. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

随机推荐

  1. java集合框架部分相关接口与类的介绍

    集合基础 接口 Iterable //Implementing this interface allows an object to be the target of the "for-ea ...

  2. exe取消动态基址

    动态基址开启后,在动态调试是想要和ida静态分析中的地址对应还要进行一步计算,取消动态基址便可以剩下很多时间. 只要修改pe文件头中的Characteristics低位置1 1 typedef str ...

  3. 5、Spring教程之依赖注入

    概念 依赖注入(Dependency Injection,DI). 依赖 : 指Bean对象的创建依赖于容器 . Bean对象的依赖资源 . 注入 : 指Bean对象所依赖的资源 , 由容器来设置和装 ...

  4. Object类中的常用方法

    1.getClass方法 源码: 功能: 返回此Object的运行时类. 什么是运行时类? 如上图所示,类从被加载到虚拟机内存开始,到卸载出内存为止,他的生命周期一共包含7个阶段.其中加载阶段虚拟机需 ...

  5. PureMVC学习笔记

    一.简介 PureMVC是基于MVC思想和一些基础设计模式建立的一个轻量级的应用框架,免费开源,最初是执行的ActionScript 3语言使用,现在已经移植到几乎所有主流平台.PureMVC官方网站 ...

  6. [LeetCode]2. 两数相加(难度:中等)

    题目: 给你两个非空的链表,表示两个非负的整数.它们每位数字都是按照逆序的方式存储的,并且每个节点只能存储一位数字.请你将两个数相加,并以相同形式返回一个表示和的链表.你可以假设除了数字0之外,这两个 ...

  7. Python 网络编程 C/S建立Socket连接

    分为客户端和服务端 服务端 server.py 客户端 1 #coding=utf-8 2 import socket 3 4 client = socket.socket() #生成socket连接 ...

  8. Docker遇到的异常和注意点

    Docker遇到的异常和注意点 整理一些使用docker的时候,遇到的问题和解决办法 遇到的一些异常和解决方法 删除镜像时出现: Error response from daemon: conflic ...

  9. 显示IPC信息--ipcs

    ipcs                                       显示共享内存,消息队列, 信号量全部的IPC ipcs -q                            ...

  10. [Fundamental of Power Electronics]-PART II-9. 控制器设计-9.5 控制器的设计

    9.5 控制器设计 现在让我们来考虑如何设计控制器系统,来满足有关抑制扰动,瞬态响应以及稳定性的规范或者说设计目标.典型的直流控制器设计可以用以下规范定义: 1.负载电流变化对输出电压调节的影响.当负 ...