枚举与删除注册表回调
注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果。部分游戏保护还会在注册表回调上做功夫,监控 service
键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等 HIPS 类软件里,则用来监控自启动等键值。
注册表回调在 XP 系统上貌似是一个数组,但是从 WINDOWS 2003 开始,就变成了一个链表。这个链表的头称为 CallbackListHead,可在 CmUnRegisterCallback 中找到:
搜索的过程跟寻找进程、线程、映像的数组类似,根据 lea REG,XXX 来定位。不过为了更加精准,这次资料中是采用两次 lea REG,XXX 来定位:
ULONG64 FindCmpCallbackAfterXP()
{
ULONG64 uiAddress=0;
PUCHAR pCheckArea=NULL, i=0, j=0, StartAddress=0, EndAddress=0;
ULONG64 dwCheckAddr=0;
UNICODE_STRING unstrFunc;
UCHAR b1=0,b2=0,b3=0;
ULONG templong=0,QuadPart=0xfffff800;
RtlInitUnicodeString(&unstrFunc, L"CmUnRegisterCallback");
pCheckArea = (UCHAR*)MmGetSystemRoutineAddress (&unstrFunc) ;
if (!pCheckArea)
{
KdPrint(("MmGetSystemRoutineAddress failed."));
return 0;
}
StartAddress = (PUCHAR)pCheckArea;
EndAddress = (PUCHAR)pCheckArea + PAGE_SIZE;
for(i=StartAddress;i<EndAddress;i++)
{
if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )
{
b1=*i;
b2=*(i+1);
b3=*(i+2);
if( b1==0x48 && b2==0x8d && b3==0x0d ) //488d0d(lea rcx,)
{
j=i-5;
b1=*j;
b2=*(j+1);
b3=*(j+2);
if( b1==0x48 && b2==0x8d && b3==0x54 ) //488d54(lea rdx,)
{
memcpy(&templong,i+3,4);
uiAddress = MakeLong64ByLong32(templong) +