枚举与删除注册表回调

注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果。部分游戏保护还会在注册表回调上做功夫,监控 service

键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等 HIPS 类软件里,则用来监控自启动等键值。

注册表回调在 XP 系统上貌似是一个数组,但是从 WINDOWS 2003 开始,就变成了一个链表。这个链表的头称为 CallbackListHead,可在 CmUnRegisterCallback 中找到:

搜索的过程跟寻找进程、线程、映像的数组类似,根据 lea REG,XXX 来定位。不过为了更加精准,这次资料中是采用两次 lea REG,XXX 来定位:

ULONG64 FindCmpCallbackAfterXP()

{

ULONG64	uiAddress=0;

PUCHAR	pCheckArea=NULL, i=0, j=0, StartAddress=0, EndAddress=0;

ULONG64	dwCheckAddr=0;

UNICODE_STRING	unstrFunc;

UCHAR b1=0,b2=0,b3=0;

ULONG templong=0,QuadPart=0xfffff800;

RtlInitUnicodeString(&unstrFunc, L"CmUnRegisterCallback");

pCheckArea = (UCHAR*)MmGetSystemRoutineAddress (&unstrFunc) ;

if (!pCheckArea)

{

KdPrint(("MmGetSystemRoutineAddress failed."));

return 0;

}

StartAddress = (PUCHAR)pCheckArea;

EndAddress = (PUCHAR)pCheckArea + PAGE_SIZE;

for(i=StartAddress;i<EndAddress;i++)

{

if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )

{

b1=*i;

b2=*(i+1);

b3=*(i+2);

if( b1==0x48 && b2==0x8d && b3==0x0d ) //488d0d(lea rcx,)

{

j=i-5;

b1=*j;

b2=*(j+1);

b3=*(j+2);

if( b1==0x48 && b2==0x8d && b3==0x54 ) //488d54(lea rdx,)

{

memcpy(&templong,i+3,4);

uiAddress = MakeLong64ByLong32(templong) + (ULONGLONG)i + 7;

return uiAddress;

}

}

}

}

return 0;

}

定位完毕之后,就是枚举链表了。注册表回调是一个“结构体链表”,类似于 EPROCESS,它的定义如下:

typedef struct _CM_NOTIFY_ENTRY

{

LIST_ENTRY	ListEntryHead;

ULONG	UnKnown1;

ULONG	UnKnown2;

LARGE_INTEGER	Cookie;

ULONG64	Context;

ULONG64	Function;

}CM_NOTIFY_ENTRY, *PCM_NOTIFY_ENTRY;

我们只关心两个值,一个是 Cookie,一个是 Function。前者可以理解成注册表回调的“句柄”(用 CmUnRegisterCallback 注销回调传入的就是这个 Cookie),后者是回调函数的地址。代码如下:

ULONG CountCmpCallbackAfterXP(ULONG64* pPspLINotifyRoutine)

{

ULONG	sum = 0;

ULONG64	dwNotifyItemAddr;

ULONG64*	pNotifyFun;

ULONG64*	baseNotifyAddr;

ULONG64	dwNotifyFun;

LARGE_INTEGER	cmpCookie;

PLIST_ENTRY	notifyList;

PCM_NOTIFY_ENTRY	notify;

dwNotifyItemAddr = *pPspLINotifyRoutine;

notifyList = (LIST_ENTRY *)dwNotifyItemAddr;

do

{

notify = (CM_NOTIFY_ENTRY *)notifyList;

if (MmIsAddressValid(notify))

{

if (MmIsAddressValid((PVOID)(notify->Function)) && notify->Function > 0x8000000000000000)

{

DbgPrint("[CmCallback]Function=%p\tCookie=%p", (PVOID)(notify->Function),(PVOID)(notify->Cookie.QuadPart));

//notify->Function=(ULONG64)MyRegistryCallback;

sum ++;

}

}

notifyList = notifyList->Flink;

}while ( notifyList != ((LIST_ENTRY*)(*pPspLINotifyRoutine)) );

return sum;

}

执行效果(在有360的机器上执行的):

对付注册表回调有三种方法:

1.直接使用CmUnRegisterCallback 把回调注销;

2.把链表中记录的回调地址修改为自定义的空函数的回调地址;

3.直接在目标回调地址上写一个 RET,使其不执行任何代码就返回。 第三种 方法 没有针对性,可以用于对付 任何 回调函数。DisableFunctionWithReturnValue 用来对付有返回值的回调函数,DisableFunctionWithoutReturnValue 用于对付无返回值的回调函数。

/*

给函数头写RET废除函数功能,这份代码可以用于对抗任意回调函数,但仅限于WIN64系统。

DisableFunctionWithReturnValue用于有返回值的回调

DisableFunctionWithoutReturnValue用于无返回值的回调

*/

KIRQL WPOFFx64()

{

KIRQL irql=KeRaiseIrqlToDpcLevel();

UINT64 cr0=__readcr0();

cr0 &= 0xfffffffffffeffff;

__writecr0(cr0);

_disable();

return irql;

}

void WPONx64(KIRQL irql)

{

UINT64 cr0=__readcr0();

cr0 |= 0x10000;

_enable();

__writecr0(cr0);

KeLowerIrql(irql);

}

VOID DisableFunctionWithReturnValue(PVOID Address)

{

KIRQL irql;

CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

memcpy(Address,patchCode,3);

WPONx64(irql);

}

}

VOID DisableFunctionWithoutReturnValue(PVOID Address)

{

KIRQL irql;

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

RtlFillMemory(Address,1,0xC3);

WPONx64(irql);

}

}

代码备份:win7 X64

typedef struct _CM_NOTIFY_ENTRY

{

LIST_ENTRY	ListEntryHead;

ULONG	UnKnown1;

ULONG	UnKnown2;

LARGE_INTEGER	Cookie;

ULONG64	Context;

ULONG64	Function;

}CM_NOTIFY_ENTRY, *PCM_NOTIFY_ENTRY;

LARGE_INTEGER Cookie;

ULONG64 CmCallbackListHead=0;

NTSTATUS MyRegistryCallback(

    IN PVOID CallbackContext,

    IN PVOID Argument1,

    IN PVOID Argument2

    )

{

return STATUS_SUCCESS;

}

ULONG CountCmpCallbackAfterXP(ULONG64* pPspLINotifyRoutine)

{

ULONG	sum = 0;

ULONG64	dwNotifyItemAddr;

ULONG64*	pNotifyFun;

ULONG64*	baseNotifyAddr;

ULONG64	dwNotifyFun;

LARGE_INTEGER	cmpCookie;

PLIST_ENTRY	notifyList;

PCM_NOTIFY_ENTRY	notify;

dwNotifyItemAddr = *pPspLINotifyRoutine;

notifyList = (LIST_ENTRY *)dwNotifyItemAddr;

do

{

notify = (CM_NOTIFY_ENTRY *)notifyList;

if (MmIsAddressValid(notify))

{

if (MmIsAddressValid((PVOID)(notify->Function)) && notify->Function > 0x8000000000000000)

{

DbgPrint("[CmCallback]Function=%p\tCookie=%p", (PVOID)(notify->Function),(PVOID)(notify->Cookie.QuadPart));

//notify->Function=(ULONG64)MyRegistryCallback;

sum ++;

}

}

notifyList = notifyList->Flink;

}while ( notifyList != ((LIST_ENTRY*)(*pPspLINotifyRoutine)) );

return sum;

}

LONG64 MakeLong64ByLong32(LONG lng32)

{

LONG64 lng64=0;

if(lng32>0)

{

lng64=(LONG64)lng32;

}

else

{

lng64=0xffffffffffffffff;

memcpy(&lng64,&lng32,4);

}

return lng64;

}

ULONG64 FindCmpCallbackAfterXP()

{

ULONG64	uiAddress=0;

PUCHAR	pCheckArea=NULL, i=0, j=0, StartAddress=0, EndAddress=0;

ULONG64	dwCheckAddr=0;

UNICODE_STRING	unstrFunc;

UCHAR b1=0,b2=0,b3=0;

ULONG templong=0,QuadPart=0xfffff800;

RtlInitUnicodeString(&unstrFunc, L"CmUnRegisterCallback");

pCheckArea = (UCHAR*)MmGetSystemRoutineAddress (&unstrFunc) ;

if (!pCheckArea)

{

KdPrint(("MmGetSystemRoutineAddress failed."));

return 0;

}

StartAddress = (PUCHAR)pCheckArea;

EndAddress = (PUCHAR)pCheckArea + PAGE_SIZE;

for(i=StartAddress;i<EndAddress;i++)

{

if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )

{

b1=*i;

b2=*(i+1);

b3=*(i+2);

if( b1==0x48 && b2==0x8d && b3==0x0d ) //488d0d(lea rcx,)

{

j=i-5;

b1=*j;

b2=*(j+1);

b3=*(j+2);

if( b1==0x48 && b2==0x8d && b3==0x54 ) //488d54(lea rdx,)

{

memcpy(&templong,i+3,4);

uiAddress = MakeLong64ByLong32(templong) + (ULONGLONG)i + 7;

return uiAddress;

}

}

}

}

return 0;

}

void EnumCmCallback64()

{

//test to add my reg callback

CmRegisterCallback(MyRegistryCallback, NULL, &Cookie);

DbgPrint("[MY FUNCTION]: %p",(PVOID)MyRegistryCallback);

DbgPrint("[MY COOKIE]: %p",(PVOID)Cookie.QuadPart);

//get CmCallbackListHead address

CmCallbackListHead=FindCmpCallbackAfterXP();

DbgPrint("CmCallbackListHead: %p",(PVOID)CmCallbackListHead);

//enum callback address

CountCmpCallbackAfterXP((ULONG64*)CmCallbackListHead);

//unregister my callback

CmUnRegisterCallback(Cookie);

}

/*

给函数头写RET废除函数功能,这份代码可以用于对抗任意回调函数,但仅限于WIN64系统。

DisableFunctionWithReturnValue用于有返回值的回调

DisableFunctionWithoutReturnValue用于无返回值的回调

*/

KIRQL WPOFFx64()

{

KIRQL irql=KeRaiseIrqlToDpcLevel();

UINT64 cr0=__readcr0();

cr0 &= 0xfffffffffffeffff;

__writecr0(cr0);

_disable();

return irql;

}

void WPONx64(KIRQL irql)

{

UINT64 cr0=__readcr0();

cr0 |= 0x10000;

_enable();

__writecr0(cr0);

KeLowerIrql(irql);

}

VOID DisableFunctionWithReturnValue(PVOID Address)

{

KIRQL irql;

CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

memcpy(Address,patchCode,3);

WPONx64(irql);

}

}

VOID DisableFunctionWithoutReturnValue(PVOID Address)

{

KIRQL irql;

if(MmIsAddressValid(Address))

{

irql=WPOFFx64();

RtlFillMemory(Address,1,0xC3);

WPONx64(irql);

}

}

宋孖健,13

Win64 驱动内核编程-32.枚举与删除注册表回调的更多相关文章

  1. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  2. Win64 驱动内核编程-30.枚举与删除线程回调

    枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了.某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出.而线程回调则通常用 ...

  3. Win64 驱动内核编程-33.枚举与删除对象回调

    转载:http://www.voidcn.com/article/p-wulgeluy-bao.html 枚举与删除对象回调 对象回调存储在对应对象结构体里,简单来说,就是存储在 ObjectType ...

  4. Win64 驱动内核编程-28.枚举消息钩子

    枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之 ...

  5. Win64 驱动内核编程-15.回调监控注册表

    回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 ...

  6. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  7. Win64 驱动内核编程-11.回调监控进线程句柄操作

    无HOOK监控进线程句柄操作 在 NT5 平台下,要监控进线程句柄的操作. 通常要挂钩三个API:NtOpenProcess.NtOpenThread.NtDuplicateObject.但是在 VI ...

  8. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  9. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

随机推荐

  1. mock 请求分发

    首发于 语雀文档 背景是这样的 我们公司的后管项目走的不是 resful 风格的 api,而是走后管网关,后管网关会将请求进行分发,具体怎么分发,有这么以下几点: 请求全部走 POST 请求 URL ...

  2. 【python+selenium的web自动化】- Selenium WebDriver原理及安装

    简单介绍 selenium ​ selenium是一个用于测试web网页的自动化测试工具,它直接运行在浏览器中,模拟用户的操作.

  3. 强化学习导论 课后习题参考 - Chapter 1,2

    Reinforcement Learning: An Introduction (second edition) - Chapter 1,2 Chapter 1 1.1 Self-Play Suppo ...

  4. 自己挖的坑自己填--Mybatis mapper文件if标签中number类型及String类型的坑

    1.现象描述 (1)使用 Mybatis 在进行数据更新时,大部分时候update语句都需要通过动态SQL进行拼接.在其中,if标签中经常会有 xxx !='' 这种判断,若 number 类型的字段 ...

  5. Line-line Intersection Gym - 102220C

    题目链接:https://vjudge.net/problem/Gym-102220C 题意:求n 条直线两两相交有几对(也可以重合). 思路:用map和pair存所有直线的斜率和与X轴的交点,假设与 ...

  6. Java-TreeMap和Guava-HashMultiset

    一.Java-TreeMap 1.数据结构 底层数据结构是裸的红黑树,保证元素有序,没有比较器Comparator的情况按照key的自然排序,可自定义比较器.线程不安全. 可以存null,但是key不 ...

  7. [系统重装日志1]快速迁移/恢复Mendeley的文献和笔记

    一时手贱把原先系统的EFI分区给删了,按照网上的教程还没有恢复成功,无奈之下只能重装系统,想想这么多环境和配置真是酸爽. 身为一个伪科研工作者,首先想到的是自己的文献和阅读笔记.我所使用的文献管理工具 ...

  8. 创建数据库 UTF-8

    CREATE DATABASE db_name DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;

  9. 折腾kubernetes各种问题汇总-<1>

    折腾kubernetes各种问题汇总-<1> 折腾部署fluend-elasticsearch日志,折腾出一大堆问题,解决这些问题过程中,感觉又了解了不少. 如何删除不一致状态下的rc,d ...

  10. Python基础(十五):Python的3种字符串格式化,做个超全对比!

    有时候,为了更方便.灵活的运用字符串.在Python中,正好有3种方式,支持格式化字符串的输出 . 3种字符串格式化工具的简单介绍 python2.5版本之前,我们使用的是老式字符串格式化输出%s. ...