Win64 驱动内核编程-30.枚举与删除线程回调

最新推荐文章于 2022-10-29 10:17:25 发布
最新推荐文章于 2022-10-29 10:17:25 发布
阅读量4.5k 收藏 4
点赞数 1
分类专栏: 驱动内核编程 文章标签: 驱动 枚举与删除线程回调 宋孖健 13
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/69056874
版权
本文介绍了如何在Win64驱动内核编程中枚举与删除线程回调,以绕过进程和线程监控。通过解析PspCreateProcessNotifyRoutine和PspCreateThreadNotifyRoutine数组,解密回调地址并利用PsSetCreateProcessNotifyRoutine等函数进行处理。在Windows 7 x64系统上,展示了具体的代码实现,包括对回调数组的加密数据处理和测试。
摘要由CSDN通过智能技术生成

枚举与删除线程回调

    进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。

    我们注册的进程回调,会存储在一个名为 PspCreateProcessNotifyRoutine 的数组里。

PspCreateProcessNotifyRoutine 可以理解成一个 PVOID 数组,它记录了系统里所有进程回调的地址。这个数组最大长度是 64*sizeof(PVOID)。所以枚举进程回调的思路如下:找到这个数组的地址,然后解密数组的数据,得到所有回调的地址(这个数组记录的数据并不是回调的 地 址 , 而 是 经 过 加 密 地 址 , 需 要 解 密 才 行 )。 枚 举 线 程 回 调 同 理 , 要 找 到PspCreateThreadNotifyRoutine 的地址(这个数组最大长度也是 64*sizeof(PVOID)),然后解密数据,并把解密后的地址打印出来。

    至于怎么处理这些回调就简单了。可以使用标准函数(PsSetCreateProcessNotifyRoutine、PsRemoveCreateThreadNotifyRoutine)将其摘掉,也可以直接在回调函数首地址写入 RET 把回调函数废掉。

    首先要获得 PspCreateProcessNotifyRoutine 的地址。PspCreateProcessNotifyRoutine 在PspSetCreateProcessNotifyRoutine 函数里出现了。而 PspSetCreateProcessNotifyRoutine 则在PsSetCreateProcessNotifyRoutine 中被调用(注意前一个是 PspXXX,后一个是 PsXXX)。找到PspSetCreateProcessNotifyRoutine 之后,再匹配特征码:

 

 

    于是我们根据特征码写出了以下代码(仅在 WIN7X64 上有效,WIN8、8.1 需要自己重新

定义特征码

最低0.47元/天 解锁文章
TK13
关注
专栏目录
大话 回调函数枚举
思緒凌亂
01-09 1768
一:起因 (1)接着上一篇博客   大话 函数指针 和 指针函数 (2)对指针的应用是C语言编程的精髓所在,而回调函数就是C语言里面对函数指针的高级应用 (3)回调函数可以实现代码具体实现 和 功能描述的分开,可以实现代码的重用性,特别是代码的可扩展性 (4)要想实现函数与类型无关,就可以借助回调函数就可以达到这个目的,当然也可以通过泛型来实现相应的方法。 (5)使得函数可以作为
Win64 驱动内核编程-31.枚举删除映像回调
天使也掉毛
04-04 2068
枚举删除映像回调 映像回调可以拦截RING3和RING0的映像加载。某些游戏保护会用此来拦截黑名单中的驱动加载,比如XUETR、WIN64AST的驱动。同理,在反游戏保护的过程中,也可以拦截游戏驱动的加载。 跟进程/线程回调类似,映像回调也存储在数组里。这个数组的“符号名”是PspLoadImageNotifyRoutine。我们可以在PsSetLoadImag...
驱动开发:内核枚举线程与模块
CSDN
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
枚举系统进程线程
phoebeyufish的专栏
04-11 931
#include "stdafx.h"#include #include #include BOOL GetProcessList( );BOOL ListProcessModules( DWORD dwPID );BOOL ListProcessThreads( DWORD dwOwnerPID );BOOL GetProcessList( ){  HANDLE hProcessSnap; 
Win64 驱动内核编程-32.枚举删除注册表回调
墨鱼菜鸡
12-18 178
枚举删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,...
Win64 驱动内核编程-33.枚举删除对象回调
天使也掉毛
04-04 5392
枚举删除对象回调 对象回调存储在对应对象结构体里,简单来说,就是存储在ObjectType.CallbackList这 个双向链表里。但对象结构体在每个系统上都不一定相同。比如WIN7X64的结构体如下: ntdll!_OBJECT_TYPE +0x000TypeList:_LIST_ENTRY +0x010Name:_UNICODE_STRING +0...
驱动开发:内核枚举LoadImage映像回调
CSDN
10-20 1万+
映像加载通告回调,当有新驱动或者DLL被加载时,回调函数就会被调用从而执行我们自己的回调例程,映像回调也存储在数组里,枚举时从数组中读取值之后,需要进行位运算解密得到地址。目前系统中只有两个回调,所以枚举出来的只有两条,打开ARK验证一下会发现完全正确,忽略。中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核。如上所述,如果我们需要拿到回调数组那么首先要得到该数组,数组的符号名是。增加解密代码以后,这段程序的完整代码也就可以被写出来了,如下所示。首先定位到,能够找到。
驱动开发:内核枚举驱动线程(答疑篇)
CSDN
10-17 9259
这篇文章比较特殊,是一篇穿插答疑文章,由于刚好在前一篇教程`《驱动开发:内核枚举PspCidTable句柄表》`整理了枚举句柄表的知识点,正好这个知识点能解决一个问题,事情是这样的有一个粉丝求助了一个问题,想要枚举驱动中活动的线程信息,此功能我并没有尝试过当时也只是说了一个大致思路,今天想具体聊一聊这个话题,也想聊一聊自己对粉丝们的想法。
【开源】线程枚举工具 可以枚举出一个软件存在的线程-易语言
06-11
软件可以枚举出一个软件的所有线程及路径和入口 TX的游戏有TP进程保护  没有写提升读写权限 加入System权限   可以枚举TX游戏线程  暂停线程  停止线程等没有写
Win64 驱动内核编程-12.回调监控进线程创建和退出
天使也掉毛
03-12 4189
回调监控进线程创建和退出     两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分别对应的回调函数类型: VOID MyCreateProcessNotify ( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEA
x64 PspCidTable 枚举进程/ 线程
liushujie1的博客
08-15 831
x64 PspCidTable 枚举进程/ 线程![win10 测试效果图](https://img-blog.csdnimg.cn/2020081521295066.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpdXNodWppZTE=,size_16,color_FFFFFF,t_70#pic_cent...
驱动开发:内核枚举进程线程ObCall回调
热门推荐
CSDN
10-22 1万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
x64驱动 遍历 PspCidTable 枚举进程线程
LYSM
06-05 2901
介绍 PspCidTable 是一个内核句柄表,存放进程线程内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
驱动开发:内核强制结束进程运行
最新发布
CSDN
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
[内核编程]线程操作
輚至消亡
07-13 1239
1. 线程枚举 来介绍几个要用到的内核API: PsLookupThreadByThreadId(): NTSTATUS PsLookupThreadByThreadId( IN HANDLE ThreadId, OUT PETHREAD *Thread ); 通过TID获取对应的ETHREAD结构指针。 IoThreadToProcess(): PEPROCESS IoThreadToProcess( IN PETHREAD Thread
枚举系统中的各种回调
LYSM
06-23 661
请转到以下链接食用 ???? ???? :进程/线程对象回调 ????:注册表回调 ????:模块加载回调 ????:进程创建回调 ???? :线程创建回调
驱动-线程
chengtoreal的博客
03-12 398
线程结构体ETHREAD ETHREAD 第一个是 0x22c Cid 进程ID与线程ID 0x268 ThreadListEntry 当前进程中所有线程的双向链表 nt!_ETHREAD +0x000 Tcb : _KTHREAD +0x200 CreateTime : _LARGE_INTEGER +0x208 ExitTime : _LARGE_INTEGER +0x208 KeyedWaitChain : _LIS
驱动内Enum所有进程线程
weixin_34265814的博客
04-22 372
#ifdef __cplusplus extern "C" { #endif #include <ntddk.h> #ifdef __cplusplus } #endif #define PROCESSNAME_OFFSET 0x174 #define NTOPENPROCESS_SIGN 0x7a #define NTOPENPROCES...
Linux USB驱动开发详解:从USB-skeleton入手
在Linux中,驱动开发者需要实现相应的回调函数来处理这些传输。 例如,`bulk_in_endpointAddr`和`bulk_out_endpointAddr`分别对应设备的批量输入和输出端点,驱动程序会使用Linux内核提供的函数如`usb_bulk_msg`来...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值