枚举与删除注册表回调

注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果。部分游戏保护还会在注册表回调上做功夫,监控 service

键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等 HIPS 类软件里,则用来监控自启动等键值。

注册表回调在 XP 系统上貌似是一个数组,但是从 WINDOWS 2003 开始,就变成了一个链表。这个链表的头称为 CallbackListHead,可在 CmUnRegisterCallback 中找到:

搜索的过程跟寻找进程、线程、映像的数组类似,根据 lea REG,XXX 来定位。不过为了更加精准,这次资料中是采用两次 lea REG,XXX 来定位:

ULONG64 FindCmpCallbackAfterXP()

{

ULONG64	uiAddress=0;

PUCHAR	pCheckArea=NULL, i=0, j=0, StartAddress=0, EndAddress=0;

ULONG64	dwCheckAddr=0;

UNICODE_STRING	unstrFunc;

UCHAR b1=0,b2=0,b3=0;

ULONG templong=0,QuadPart=0xfffff800;

RtlInitUnicodeString(&unstrFunc, L"CmUnRegisterCallback");

pCheckArea = (UCHAR*)MmGetSystemRoutineAddress (&unstrFunc) ;

if (!pCheckArea)

{

KdPrint(("MmGetSystemRoutineAddress failed."));

return 0;

}

StartAddress = (PUCHAR)pCheckArea;

EndAddress = (PUCHAR)pCheckArea + PAGE_SIZE;

for(i=StartAddress;i<EndAddress;i++)

{

if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )

{

b1=*i;

b2=*(i+1);

b3=*(i+2);

if( b1==0x48 && b2==0x8d && b3==0x0d ) //488d0d(lea rcx,)

{

j=i-5;

b1=*j;

b2=*(j+1);

b3=*(j+2);

if( b1==0x48 && b2==0x8d && b3==0x54 ) //488d54(lea rdx,)

{

memcpy(&templong,i+3,4);

uiAddress = MakeLong64ByLong32(templong) + (ULONGLONG)i + 7;

return uiAddress;

}

}

}

}

return 0;

}

定位完毕之后,就是枚举链表了。注册表回调是一个“结构体链表”,类似于 EPROCESS,它的定义如下:

typedef struct _CM_NOTIFY_ENTRY

{

LIST_ENTRY	ListEntryHead;

ULONG	UnKnown1;

ULONG	UnKnown2;

LARGE_INTEGER	Cookie;

ULONG64	Context;

ULONG64	Function;

}CM_NOTIFY_ENTRY, *PCM_NOTIFY_ENTRY;

我们只关心两个值,一个是 Cookie,一个是 Function。前者可以理解成注册表回调的“句柄”(用 CmUnRegisterCallback 注销回调传入的就是这个 Cookie),后者是回调函数的地址。代码如下:

ULONG CountCmpCallbackAfterXP(ULONG64* pPspLINotifyRoutine)

{

ULONG	sum = 0;

ULONG64	dwNotifyItemAddr;

ULONG64*	pNotifyFun;

ULONG64*	baseNotifyAddr;

ULONG64	dwNotifyFun;

LARGE_INTEGER	cmpCookie;

PLIST_ENTRY	notifyList;

PCM_NOTIFY_ENTRY	notify;

dwNotifyItemAddr = *pPspLINotifyRoutine;

notifyList = (LIST_ENTRY *)dwNotifyItemAddr;

do

{

notify = (CM_NOTIFY_ENTRY *)notifyList;

if (MmIsAddressValid(notify))

{

if (MmIsAddressValid((PVOID)(notify->Function)) && notify->Function > 0x8000000000000000)

{

DbgPrint("[CmCallback]Function=%p\tCookie=%p", (PVOID)(notify->Function),(PVOID)(notify->Cookie.QuadPart));

//notify->Function=(ULONG64)MyRegistryCallback;

sum ++;

}

}

notifyList = notifyList->Flink;

}while ( notifyList != ((LIST_ENTRY*)(*pPspLINotifyRoutine)) );

return sum;

}

执行效果(在有360的机器上执行的):

对付注册表回调有三种方法:

1.直接使用CmUnRegisterCallback 把回调注销;

2.把链表中记录的回调地址修改为自定义的空函数的回调地址;

3.直接在目标回调地址上写一个 RET,使其不执行任何代码就返回。 第三种 方法 没有针对性,可以用于对付 任何 回调函数。DisableFunctionWithReturnValue 用来对付有返回值的回调函数,DisableFunctionWithoutReturnValue 用于对付无返回值的回调函数。

/*

给函数头写RET废除函数功能,这份代码可以用于对抗任意回调函数,但仅限于WIN64系统。

DisableFunctionWithReturnValue用于有返回值的回调

DisableFunctionWithoutReturnValue用于无返回值的回调

*/

KIRQL WPOFFx64()

{

KIRQL irql=KeRaiseIrqlToDpcLevel();

UINT64 cr0=__readcr0();

cr0 &= 0xfffffffffffeffff;

__writecr0(cr0);

_disable();

return irql;

}

void WPONx64(KIRQL irql)

{

UINT64 cr0=__readcr0();

cr0 |= 0x10000;

_enable();

__writecr0(cr0);

KeLowerIrql(irql);

}

VOID DisableFunctionWithReturnValue(PVOID Address)

{

KIRQL irql;

CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

memcpy(Address,patchCode,3);

WPONx64(irql);

}

}

VOID DisableFunctionWithoutReturnValue(PVOID Address)

{

KIRQL irql;

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

RtlFillMemory(Address,1,0xC3);

WPONx64(irql);

}

}

代码备份:win7 X64

typedef struct _CM_NOTIFY_ENTRY

{

LIST_ENTRY	ListEntryHead;

ULONG	UnKnown1;

ULONG	UnKnown2;

LARGE_INTEGER	Cookie;

ULONG64	Context;

ULONG64	Function;

}CM_NOTIFY_ENTRY, *PCM_NOTIFY_ENTRY;

LARGE_INTEGER Cookie;

ULONG64 CmCallbackListHead=0;

NTSTATUS MyRegistryCallback(

    IN PVOID CallbackContext,

    IN PVOID Argument1,

    IN PVOID Argument2

    )

{

return STATUS_SUCCESS;

}

ULONG CountCmpCallbackAfterXP(ULONG64* pPspLINotifyRoutine)

{

ULONG	sum = 0;

ULONG64	dwNotifyItemAddr;

ULONG64*	pNotifyFun;

ULONG64*	baseNotifyAddr;

ULONG64	dwNotifyFun;

LARGE_INTEGER	cmpCookie;

PLIST_ENTRY	notifyList;

PCM_NOTIFY_ENTRY	notify;

dwNotifyItemAddr = *pPspLINotifyRoutine;

notifyList = (LIST_ENTRY *)dwNotifyItemAddr;

do

{

notify = (CM_NOTIFY_ENTRY *)notifyList;

if (MmIsAddressValid(notify))

{

if (MmIsAddressValid((PVOID)(notify->Function)) && notify->Function > 0x8000000000000000)

{

DbgPrint("[CmCallback]Function=%p\tCookie=%p", (PVOID)(notify->Function),(PVOID)(notify->Cookie.QuadPart));

//notify->Function=(ULONG64)MyRegistryCallback;

sum ++;

}

}

notifyList = notifyList->Flink;

}while ( notifyList != ((LIST_ENTRY*)(*pPspLINotifyRoutine)) );

return sum;

}

LONG64 MakeLong64ByLong32(LONG lng32)

{

LONG64 lng64=0;

if(lng32>0)

{

lng64=(LONG64)lng32;

}

else

{

lng64=0xffffffffffffffff;

memcpy(&lng64,&lng32,4);

}

return lng64;

}

ULONG64 FindCmpCallbackAfterXP()

{

ULONG64	uiAddress=0;

PUCHAR	pCheckArea=NULL, i=0, j=0, StartAddress=0, EndAddress=0;

ULONG64	dwCheckAddr=0;

UNICODE_STRING	unstrFunc;

UCHAR b1=0,b2=0,b3=0;

ULONG templong=0,QuadPart=0xfffff800;

RtlInitUnicodeString(&unstrFunc, L"CmUnRegisterCallback");

pCheckArea = (UCHAR*)MmGetSystemRoutineAddress (&unstrFunc) ;

if (!pCheckArea)

{

KdPrint(("MmGetSystemRoutineAddress failed."));

return 0;

}

StartAddress = (PUCHAR)pCheckArea;

EndAddress = (PUCHAR)pCheckArea + PAGE_SIZE;

for(i=StartAddress;i<EndAddress;i++)

{

if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )

{

b1=*i;

b2=*(i+1);

b3=*(i+2);

if( b1==0x48 && b2==0x8d && b3==0x0d ) //488d0d(lea rcx,)

{

j=i-5;

b1=*j;

b2=*(j+1);

b3=*(j+2);

if( b1==0x48 && b2==0x8d && b3==0x54 ) //488d54(lea rdx,)

{

memcpy(&templong,i+3,4);

uiAddress = MakeLong64ByLong32(templong) + (ULONGLONG)i + 7;

return uiAddress;

}

}

}

}

return 0;

}

void EnumCmCallback64()

{

//test to add my reg callback

CmRegisterCallback(MyRegistryCallback, NULL, &Cookie);

DbgPrint("[MY FUNCTION]: %p",(PVOID)MyRegistryCallback);

DbgPrint("[MY COOKIE]: %p",(PVOID)Cookie.QuadPart);

//get CmCallbackListHead address

CmCallbackListHead=FindCmpCallbackAfterXP();

DbgPrint("CmCallbackListHead: %p",(PVOID)CmCallbackListHead);

//enum callback address

CountCmpCallbackAfterXP((ULONG64*)CmCallbackListHead);

//unregister my callback

CmUnRegisterCallback(Cookie);

}

/*

给函数头写RET废除函数功能,这份代码可以用于对抗任意回调函数,但仅限于WIN64系统。

DisableFunctionWithReturnValue用于有返回值的回调

DisableFunctionWithoutReturnValue用于无返回值的回调

*/

KIRQL WPOFFx64()

{

KIRQL irql=KeRaiseIrqlToDpcLevel();

UINT64 cr0=__readcr0();

cr0 &= 0xfffffffffffeffff;

__writecr0(cr0);

_disable();

return irql;

}

void WPONx64(KIRQL irql)

{

UINT64 cr0=__readcr0();

cr0 |= 0x10000;

_enable();

__writecr0(cr0);

KeLowerIrql(irql);

}

VOID DisableFunctionWithReturnValue(PVOID Address)

{

KIRQL irql;

CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

memcpy(Address,patchCode,3);

WPONx64(irql);

}

}

VOID DisableFunctionWithoutReturnValue(PVOID Address)

{

KIRQL irql;

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

RtlFillMemory(Address,1,0xC3);

WPONx64(irql);

}

}

宋孖健,13

Win64 驱动内核编程-32.枚举与删除注册表回调的更多相关文章

  1. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  2. Win64 驱动内核编程-30.枚举与删除线程回调

    枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了.某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出.而线程回调则通常用 ...

  3. Win64 驱动内核编程-33.枚举与删除对象回调

    转载:http://www.voidcn.com/article/p-wulgeluy-bao.html 枚举与删除对象回调 对象回调存储在对应对象结构体里,简单来说,就是存储在 ObjectType ...

  4. Win64 驱动内核编程-28.枚举消息钩子

    枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之 ...

  5. Win64 驱动内核编程-15.回调监控注册表

    回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 ...

  6. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  7. Win64 驱动内核编程-11.回调监控进线程句柄操作

    无HOOK监控进线程句柄操作 在 NT5 平台下,要监控进线程句柄的操作. 通常要挂钩三个API:NtOpenProcess.NtOpenThread.NtDuplicateObject.但是在 VI ...

  8. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  9. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

随机推荐

  1. STL之string容器

    string string封装了char*,管理这个字符串,是一个char*型的容器. string的相关操作 头文件 #include<string> string构造函数 string ...

  2. 对话对话每日互动CEO方毅:数据智能应用的过去、现在和未来每日互动CEO方毅:数据智能应用的过去、现在和未来

    2008年,大数据的概念被首次提出,麦肯锡全球研究所给出的定义是:大数据是在一种获取.存储.管理.分析方面大大超出了传统数据库软件工具能力范围的数据集合. 2014年,"数据智能" ...

  3. Python中的描述器

    21.描述器:Descriptors 1)描述器的表现 用到三个魔术方法.__get__()   __set__()  __delete__() 方法签名如下: object.__get__(self ...

  4. 07、列表list

    列表(list) 是一个有序且可变的容器,在里面可以存放多个不同类型的元素 list = ['阿斯顿','阿发师','收发室'] list = [98,88,66,-1] list = [1,True ...

  5. 07-Spring ConfigurationClassPostProcessor

    ConfigurationClassPostProcessor 功能 此类是一个后置处理器类,主要功能是参与 BeanFactory 中 BeanDefinition 的操作和 BeanDefinit ...

  6. linux软件deb打包及开机管理员自启动

    环境:Ubuntu 18.04/16.04  Qt:5.12.6 一 deb打包 1.建立目录结构 2.目录内容 1) 子目录DC520: Get以上内容步骤: (1)   创建目录DC520(自己软 ...

  7. kmp&字典树 模板

    kmp: const int maxn=1e5+5; char s[maxn],p[maxn]; int nex[maxn]; int KmpSearch(char* s, char* p) { in ...

  8. HDU(1420)Prepared for New Acmer(JAVA语言)【快速幂模板】

    思路:快速幂裸题. //注意用long,否则会超范围 Problem Description 集训进行了将近2个礼拜,这段时间以恢复性训练为主,我一直在密切关注大家的训练情况,目前为止,对大家的表现相 ...

  9. P1422小玉家的电费(JAVA语言)

    package 顺序与分支; /* * 题目描述 夏天到了,各家各户的用电量都增加了许多,相应的电费也交的更多了. 小玉家今天收到了一份电费通知单.小玉看到上面写:据闽价电[2006]27号规定, 月 ...

  10. 用优先队列构造Huffman Tree及判断是否为最优编码的应用

    前言 我们知道,要构造Huffman Tree,每次都要从堆中弹出最小的两个权重的节点,然后把这两个权重的值相加存放到新的节点中,同时让这两个节点分别成为新节点的左右儿子,再把新节点插入到堆中.假设节 ...