Win64 驱动内核编程-32.枚举与删除注册表回调

最新推荐文章于 2022-10-27 12:33:22 发布
最新推荐文章于 2022-10-27 12:33:22 发布
阅读量2.5k 收藏 2
点赞数 1
分类专栏: 驱动内核编程 文章标签: 驱动 枚举与删除注册表回调 宋孖健 13
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/69061433
版权
本文介绍了Windows驱动中关于注册表回调的原理及其实现,阐述了如何枚举回调链表以及注册表回调在不同系统上的变化。同时,列举了三种对付注册表回调的方法,包括直接注销、替换回调地址和跳过执行。通过示例代码展示了在有360安全软件的环境下执行效果。
摘要由CSDN通过智能技术生成

枚举与删除注册表回调

    注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果。部分游戏保护还会在注册表回调上做功夫,监控 service

键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等 HIPS 类软件里,则用来监控自启动等键值。

    注册表回调在 XP 系统上貌似是一个数组,但是从 WINDOWS 2003 开始,就变成了一个链表。这个链表的头称为 CallbackListHead,可在 CmUnRegisterCallback 中找到:

    搜索的过程跟寻找进程、线程、映像的数组类似,根据 lea REG,XXX 来定位。不过为了更加精准,这次资料中是采用两次 lea REG,XXX 来定位:

 

ULONG64 FindCmpCallbackAfterXP()
{
ULONG64	uiAddress=0;
PUCHAR	pCheckArea=NULL, i=0, j=0, StartAddress=0, EndAddress=0;
ULONG64	dwCheckAddr=0;
UNICODE_STRING	unstrFunc;
UCHAR b1=0,b2=0,b3=0;
ULONG templong=0,QuadPart=0xfffff800;
RtlInitUnicodeString(&unstrFunc, L"CmUnRegisterCallback");
pCheckArea = (UCHAR*)MmGetSystemRoutineAddress (&unstrFunc) ;
if (!pCheckArea)
{
KdPrint(("MmGetSystemRoutineAddress failed."));
return 0;
}
StartAddress = (PUCHAR)pCheckArea;
EndAddress = (PUCHAR)pCheckArea + PAGE_SIZE;
for(i=StartAddress;i<EndAddress;i++)
{
if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )
{
b1=*i;
b2=*(i+1);
b3=*(i+2);
if( b1==0x48 && b2==0x8d && b3==0x0d ) //488d0d(lea rcx,)
{
j=i-5;
b1=*j;
b2=*(j+1);
b3=*(j+2);
if( b1==0x48 && b2==0x8d && b3==0x54 ) //488d54(lea rdx,)
{
memcpy(&templong,i+3,4);
uiAddress = MakeLong64ByLong32(templong) +
最低0.47元/天 解锁文章
TK13
关注
专栏目录
WDK驱动开发之路——注册表回调
AuddyTab的博客
11-22 387
//当有注册表行为时进行回调 进行注册表保护 #include <wdm.h> #include <ntddk.h> #include <ntifs.h> LARGE_INTEGER cookies = {0}; //参数1决定操作类型 参数2决定操作数据 NTSTATUS RegisterCallBack(PVOID context,PVOID arg1,PVOID arg2) { NTSTATUS status = STATUS_SUCCESS; DbgP.
枚举系统中的各种回调
LYSM
06-23 661
请转到以下链接食用 ???? ???? :进程/线程对象回调 ????:注册表回调 ????:模块加载回调 ????:进程创建回调 ???? :线程创建回调
遍历注册表回调函数(仿PCHunter CmpBack)
09-28 168
遍历注册表回调函数(仿PCHunterCmpBack) typedefstruct_CAPTURE_REGISTRY_MANAGER { PDEVICE_OBJECTdeviceObject; BOOLEANbReady; LARGE_INTEGERregistryCallbackCookie; LIST_ENTRYlQueuedRegistryEven...
CheekyBlinder:使用已签名的易受攻击的驱动程序枚举删除内核回调
03-21
厚脸皮 更新以包括图像加载和线程创建回调。 随附的博客文章: : TL:DR 防病毒和端点检测与响应产品使用内核回调来获得系统事件的可见性,例如: 流程创建 载入图片(exe / dll) 线程创建 档案建立 注册表修改 对象创建 以管理员身份输入内核内存不被视为安全边界,但是如何解决呢? 驱动程序可以自由访问内核内存以执行其任务。存在易受攻击的驱动程序,它们允许完整的内核内存读/写操作。该程序是一个概念证明,它允许使用经过签名的易受攻击的MSI驱动程序枚举和修改其中一些内核回调。这可用于查看和删除端点安全产品使用的遥测源,从而导致这些产品的盲目性。 目前,Windows 1909/2004仅支持以下回调: 载入图像 线程创建 流程创建 注册表修改(目前只读) 未来的更新旨在包括: 注册表修改(写) 对象创建 Minifilter回调(文件创建/修改等) 可以从下载易受攻击的驱动程序
WIN64驱动编程基础教程
12-06
详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动级HelloWorld ...|-枚举删除注册表回调 |-枚举与对抗MiniFilter |-枚举删除对象回调
驱动开发:内核监控Register注册表回调
最新发布
虚幻私塾
10-27 1125
中实现了对注册表枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控,注册表监视通常会通过。其中对于注册表最常用的监控项为以下几种类型,当然为了实现监控则我们必须要使用之前,如果使用之后则只能起到监视而无法做到监控的目的。需传入三个参数,参数一回调函数地址,参数二空余,参数三回调句柄,微软定义如下。,那么只有当注册表被创建才会拦截,此时就会变成拦截创建。
注册表删除进程
06-17
注册表删除进程全解,有兴趣可参考一二。 内容比较丰富,比较实用!
windows 驱动开发基础(三) 注册表回调
pureman_mega的博客
02-19 997
参考工程路径:C:\WinDDK\7600.16385.1\src\general\registry\regfltr 关于 Transaction (事务),Enlistment(登记)对象的介绍https://docs.microsoft.com/zh-cn/windows-hardware/drivers/kernel/handling-rollback-operations 1.注册表回调使用 // // Register the callback // 函数原型 ...
实时监视注册表变化源代码
06-15
模拟监视注册表指定项,比如监视SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce的值的添加及变化。
注册表回调注册表保护
qq_41490873的博客
01-30 836
#include <ntifs.h> #include<ntddk.h> #include <stdio.h> WCHAR KeyPath[1024] = { 0 }; WCHAR KeyName[128] = { 0 }; NTSTATUS RegisterCallBack( _In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2 ) { NTSTATUS stat
Win64 驱动内核编程-15.回调监控注册表
天使也掉毛
03-13 4749
回调监控注册表     在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK。不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 NT5 系统没有的函数。下面我就来介绍一种完胜 SSDT HOOK 监控注册表的方法,效果跟 SSDT HOOK 一样好。这个方法就是使用微软推荐的注册表监控函数:CmRegisterC
驱动开发:内核注册并监控对象回调
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
在>=win10 17134枚举驱动的另一种方法
zhuhuibeishadiao
01-16 1246
首先枚举驱动的方法很多,这里不做过多介绍,此文仅简单说明x64系统,x86结构和偏移需重新收集. 在17134版本中,MI_SYSTEM_IMAGE_STATE结构新增了一个成员 即以下的最后一个成员ImageTree,此树保存驱动LdrSection 题外话:MI_SYSTEM_IMAGE_STATE是_MI_SYSTEM_INFORMATION的子结构,_MI_SYSTEM_INFORMATION是nt!MiState nt!_MI_SYSTEM_IMAGE_STATE +0x000 Fi
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 4870
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
驱动开发:监控进程与线程对象操作
热门推荐
CSDN
06-14 2万+
监控进程对象和线程对象操作,可以使用ObRegisterCallbacks这个内核回调函数,通过回调我们可以实现保护calc.exe进程不被关闭,具体操作从OperationInformation->Object获得进程或线程的对象,然后再回调中判断是否是计算器,如果是就直接去掉TERMINATE_PROCESS或TERMINATE_THREAD权限即可。 监控进程对象 附上进程监控回调的...
用HOOK来修改API函数的功能(4)-环境搭建
weixin_34174105的博客
07-05 139
上面的3篇文章已经大概的讲述了HOOK API的编写方法,可是如何让它们真正的运行起来呢?这就需要搭建环境,而这个环境你必须使用DDK。我在这里假设你已经安装了DDK,并且会使用DDK来编译一个WDM驱动程序。这里我要说的是如何在代码中将我上面的3篇文章中讲到的功能串在一起,以及编写WDM驱动程序所需要的Sources文件。我的Sources文件是这样写的:TARGETNAME=TestDrive...
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4575
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值