WDK驱动开发之路——进程回调

最新推荐文章于 2023-11-21 19:46:54 发布
VIP文章 最新推荐文章于 2023-11-21 19:46:54 发布
阅读量558 收藏
点赞数
文章标签: c++ 开发语言 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AuddyTab/article/details/121475664
版权 
#include <wdm.h>

PVOID _HANDLE = NULL;

typedef struct _LDR_DATA_TABLE_ENTRY {
    // Start from Windows XP
    LIST_ENTRY InLoadOrderLinks;
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;
    union {
        LIST_ENTRY HashLinks;
        struct {
            PVOID SectionPointer;
            ULONG CheckSum;
        };
    };
    union {
        ULONG TimeDateStamp;
        PVOID LoadedImports;
    };
    PVOID EntryPointActivationContext;        //_ACTIVATION_CONTEXT *
    PVOID PatchInformation;

    // Start from Windows Vista
    LIST_ENTRY ForwarderLinks;
    LIST_ENTRY ServiceTagLinks;
    LIST_ENTRY StaticLinks;
    PVOID ContextInformation;
    PVOID OriginalBase;
    LARGE_INTEGER LoadTime;

} LDR_DATA_TABLE_ENTRY, * PLDR_DATA_TABLE_ENTRY;
最低0.47元/天 解锁文章
风满楼you
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
驱动开发:内核监控进程与线程回调
m0_56069948的博客
10-23 596
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
逆向分析ObRegisterCallbacks学习回调结构
weixin_44356908的博客
11-30 1192
首先调用ObRegisterCallbacks,查看所形成的结构是怎么样的。 OB_CALLBACK_REGISTRATION ObCallBack = { 0 }; OB_OPERATION_REGISTRATION ObOperation = { 0 }; ObCallBack.Version = ObGetFilterVersion(); ObCallBack.OperationRegistrationCount = 1; ObCallBack.RegistrationContext
驱动开发:监控进程与线程对象操作
CSDN
06-14 9829
监控进程对象和线程对象操作,可以使用ObRegisterCallbacks这个内核回调函数,通过回调我们可以实现保护calc.exe进程不被关闭,具体操作从OperationInformation->Object获得进程或线程的对象,然后再回调中判断是否是计算器,如果是就直接去掉TERMINATE_PROCESS或TERMINATE_THREAD权限即可。 监控进程对象 附上进程监控回调的...
Windows动态沙箱实现--进程回调监控
wangmin1944的专栏
06-19 257
下面是我们的回调代码实现,核心功能是获取当前创建的进程PID、全路径、命令行、父进程PID、父进程全路径信息。需要注意的是,这里获取的父进程信息有可能是假的,最常见的就是启动服务、shellcode注入启动或者借助UpdateProcThreadAttribute伪造父进程启动。这类的伪装,我们需要在后续的InfinityHook里实现发现并进行关联标注。前面讨论了沙箱的目标,今天开始落实代码实现,从功能实现的先后顺序上,我们优先实现4个回调进程回调、镜像回调、线程回调、注册表回调,今天实现进程回调
7.1 Windows驱动开发:内核监控进程与线程回调
最新发布
CSDN
11-21 4426
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序中也是用的最多的。一直在重复的实现对系统底层模块的枚举,今天我们将展开一个新的话题,内核监控,我们以。
Windows-WDK驱动开发文档.zip
05-25
WINDOWS WDK的微软官方开发文档,包括各种实例及介绍,涵盖了WDK的各种API,包括user driver及KERNEL DRIVER的的说明及例子。
Windows驱动开发工具包下载 WDK下载 Win11 22H2
08-16
Win11专用 配合VS2022使用
VS2010_WDK7.60_配置驱动开发环境
02-08
VS2010_WDK7.60_配置驱动开发环境
wdk 10.0 驱动开发参考文档
03-12
新手学习windows驱动开发的重要参考文档,通过这个文档可以了解驱动的架构已经开发驱动必需要掌握的一些技能
驱动回调通知机制
03-16
完美可运行的驱动,当初做项目写的。支持winxp-win10;x32 x64.都可以。可以直接编译 运行。如果有问题 欢迎留言 我会负责解释~
AIDL使用详解及进程回调
夏至的稻穗的博客
03-20 1867
作者:夏至 欢饮转载,也请保留这段申明 最近做到一个项目,需要在两个进程之间通信,考虑到频繁通信和数据安全的问题,这里采用AIDL来为两个进程进行通信。这里讲解的是如何操作,如何想要了解原理什么的,可以参照AIDL的官方中文文档: https://developer.android.com/guide/components/aidl.html,这里采用Android studio 开发,新建一个工
进程和线程保护
qq_41490873的博客
01-30 435
#include <ntifs.h> #include<ntddk.h> #define PROCESS_TERMINATE 0x1 HANDLE ObHandle; NTKERNELAPI PUCHAR PsGetProcessImageFileName( IN PEPROCESS Process ); typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemo
驱动开发:内核枚举进程与线程ObCall回调
CSDN
10-22 9008
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
19043 ObRegisterCallbacks 回调的遍历和摘除
qq_41490873的博客
10-28 510
typedef struct _OB_PRE_CREATE_HANDLE_INFORMATION { _Inout_ ACCESS_MASK DesiredAccess; _In_ ACCESS_MASK OriginalDesiredAccess; } OB_PRE_CREATE_HANDLE_INFORMATION, *POB_PRE_CREATE_HANDLE_INFORMATION; typedef struct _OB_PRE_DUPLICA
ObRegisterCallbacks注册句柄操作回调进程保护
weixin_42969457的博客
01-10 1108
简单记录下ObRegisterCallbacks的基本用法,以及如何用该方法控制内核对象的权限,加深一下自己的理解,也希望帮助看到的人少走这方面的弯路。
Windows 反调试技术——OpenProcess 权限过滤 - ObRegisterCallback
07-04 1657
转载: https://blog.xpnsec.com/anti-debug-openprocess/ 看雪翻译:https://bbs.pediy.com/thread-223857.htm 本周我有了休息时间,来回顾一下反调试技术。目前,Bug Bounty平台上有大量程序依赖于客户端应用,而且许多安全产品和游戏反作弊引擎都采用了这些反调试技术来阻止你调试核心模块。我想有必要...
驱动编程:注册表回调进程回调,文件回调进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 1695
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
Win64 驱动内核编程-14.回调监控文件
天使也掉毛
03-12 3660
回调监控文件     使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视。但可惜只能在 WIN7X64 上用。因为在 WIN7X64 上 PATCH 对象结构的成员(ObjectType->TypeInfo.SupportsObjectCallbacks)是合法的,在 WIN8X64 以及之后系统上会触发 PATCHGUARD。
驱动保护 -- 通过PID保护指定进程
weixin_41489908的博客
04-08 1214
1、添加一个编辑框输入要保护的进程PID,并添加两个按钮,一个保护进程,一个解除保护。1、声明一个受保护的进程PID数组。9、通过控制码实现添加和删除保护。10、添加和删除的代码具体实现。6、将函数在头文件声明一下。2、右击编辑框,添加变量。2、添加PID到保护函数。5、PID是否受保护函数。3、双击解除进程保护按钮。3、删除PID保护函数。4、清空PID保护函数。2、双击保护进程按钮。
开发windows驱动需要同时安装sdk和wdk和vs吗
07-15
是的,开发Windows驱动程序通常需要同时安装SDK(Software Development Kit)、WDK(Windows Driver Kit)和Visual Studio。这些工具提供了开发驱动程序所需的各种组件和功能。 1. SDK(Software Development Kit)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值