WDK驱动开发之路——进程回调

最新推荐文章于 2023-06-19 11:10:30 发布
最新推荐文章于 2023-06-19 11:10:30 发布
阅读量573 收藏
点赞数
文章标签: c++ 开发语言 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AuddyTab/article/details/121475664
版权
本文详细探讨了Windows Driver Kit(WDK)中驱动开发的进程回调概念,涵盖了如何在C++中实现驱动回调函数,以及这些回调在系统层面上的作用和使用场景。通过对驱动回调的深入理解,开发者可以更好地掌握驱动程序与用户进程之间的交互。
摘要由CSDN通过智能技术生成 
#include <wdm.h>

PVOID _HANDLE = NULL;

typedef struct _LDR_DATA_TABLE_ENTRY {
    // Start from Windows XP
    LIST_ENTRY InLoadOrderLinks;
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;
    union {
        LIST_ENTRY HashLinks;
        struct {
            PVOID SectionPointer;
            ULONG CheckSum;
        };
    };
    union {
        ULONG TimeDateStamp;
        PVOID LoadedImports;
    };
    PVOID EntryPointActivationContext;        //_ACTIVATION_CONTEXT *
    PVOID PatchInformation;

    // Start from Windows Vista
    LIST_ENTRY ForwarderLinks;
    LIST_ENTRY ServiceTagLinks;
    LIST_ENTRY StaticLinks;
    PVOID ContextInformation;
    PVOID OriginalBase;
    LARGE_INTEGER LoadTime;

} LDR_DATA_TABLE_ENTRY, * PLDR_DATA_TABLE_ENTRY;
最低0.47元/天 解锁文章
风满楼you
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win64 驱动内核编程-14.回调监控文件
天使也掉毛
03-12 3691
回调监控文件     使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视。但可惜只能在 WIN7X64 上用。因为在 WIN7X64 上 PATCH 对象结构的成员(ObjectType->TypeInfo.SupportsObjectCallbacks)是合法的,在 WIN8X64 以及之后系统上会触发 PATCHGUARD。
驱动开发:内核监控进程与线程回调
m0_56069948的博客
10-23 609
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
驱动开发:内核中的文件回调
CSDN
11-01 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。
windows驱动 - 进程回调
qq726232111的博客
12-29 1095
0x00 函数 ObRegisterCallbacks() //为线程、进程和桌面句柄操作注册回调例程列表 ObUnRegisterCallbacks() //卸载回调的注册 0x01 代码 //打印哪些进程在操作notepad进程句柄 #include <wdm.h> PCHAR PsGetProcessImageFileName(PEPROCESS Process); #define ProcessName "cmd" typedef struct _LDR_DATA_T..
创建进程回调
09-02 312
#include &lt;ntddk.h&gt; VOID UnloadDriver(PDRIVER_OBJECT pDriver); VOID CreateProcessRoutineSpy( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create ); NTSTATUS DriverEntry(PDRIVER_OB...
进程池的回调函数
ayaodi7887的博客
08-15 92
进程先执行func1,把func1的返回值作为参数传给func2,(func1是由子线程执行,func是由主线程执行) 回调函数一般用于爬虫:所有子线程用来爬取数据,主线程用来处理数据(爬取数据耗时长,处理数据耗时短) 转载于:https://www.cnblogs.com/qyh1499816254/p/11359638.html...
创建/结束进程回调 PsSetCreateProcessNotifyRoutine
dingji2919的博客
11-25 506
PsSetCreateProcessNotifyRoutine PsSetCreateProcessNotifyRoutine添加或者移除一个驱动支持的回调例程(也可以成为函数)。 当一个进程被创建或者删除时,一系列的例程将会被调用。PS:相当于把例程加入到一个链表中,当进程被创建或者删除时,所有的例程都会被调用(应该是这个意思) NTSTATUSPsSetCreateProcessNo...
反模块、线程、进程回调(PsSetXXXXX)
u014738665的博客
11-09 431
参考资料: 1、模块、进程、线程回调函数的逆向 2、一字节anti创建进程线程等回调 1、清空全局变量PspNotifyEnableMask PsSetCreateThreadNotifyRoutine、PsSetCreateProcessNotifyRoutine、PsSetLoadImageNotifyRoutine 2、注册无用回调函数占坑,因为注册回调有最大限制 例如PsSetLoadImageNotifyRoutine最大拥有8个回调 ...
进程线程 委托发起进程 回调
haifeng619的专栏
08-26 673
一个进程至少包含一个线程。 一个应用程序启动,一般会启动一个进程,然后进程启动多个线程。 互斥锁"(Mutual exclusion,缩写 Mutex),防止多个线程同时读写某一块内存区域 号量"(Semaphore),用来保证多个线程不会互相冲突。 不难看出,mutex是semaphore的一种特殊情况(n=1时)。也就是说,完全可以用后者替代前者。但是,因为mutex较为简单,
进程创建通知回调通知例程的学习笔记
lixiangminghate的专栏
08-31 2277
转自:小刀志 在 Windows 操作系统中可以通过 PsSetCreateProcessNotifyRoutine 函数注册或移除一个进程创建通知回调例程。在 Vista 以及之后的版本中,微软加入 PsSetCreateProcessNotifyRoutineEx 新的函数来注册创建进程通知。通过判断系统版本来对应不同的操作系统调用不同的注册函数。 而在 Vista 之前的系统
驱动回调通知机制
03-16
完美可运行的驱动,当初做项目写的。支持winxp-win10;x32 x64.都可以。可以直接编译 运行。如果有问题 欢迎留言 我会负责解释~
AIDL使用详解及进程回调
夏至的稻穗的博客
03-20 1912
作者:夏至 欢饮转载,也请保留这段申明 最近做到一个项目,需要在两个进程之间通信,考虑到频繁通信和数据安全的问题,这里采用AIDL来为两个进程进行通信。这里讲解的是如何操作,如何想要了解原理什么的,可以参照AIDL的官方中文文档: https://developer.android.com/guide/components/aidl.html,这里采用Android studio 开发,新建一个工
Windows动态沙箱实现--进程回调监控
最新发布
wangmin1944的专栏
06-19 303
下面是我们的回调代码实现,核心功能是获取当前创建的进程PID、全路径、命令行、父进程PID、父进程全路径信息。需要注意的是,这里获取的父进程信息有可能是假的,最常见的就是启动服务、shellcode注入启动或者借助UpdateProcThreadAttribute伪造父进程启动。这类的伪装,我们需要在后续的InfinityHook里实现发现并进行关联标注。前面讨论了沙箱的目标,今天开始落实代码实现,从功能实现的先后顺序上,我们优先实现4个回调进程回调、镜像回调、线程回调、注册表回调,今天实现进程回调
驱动开发:监控进程与线程对象操作
热门推荐
CSDN
06-14 1万+
监控进程对象和线程对象操作,可以使用ObRegisterCallbacks这个内核回调函数,通过回调我们可以实现保护calc.exe进程不被关闭,具体操作从OperationInformation->Object获得进程或线程的对象,然后再回调中判断是否是计算器,如果是就直接去掉TERMINATE_PROCESS或TERMINATE_THREAD权限即可。 监控进程对象 附上进程监控回调的...
ObRegisterCallbacks注册句柄操作回调进程保护
weixin_42969457的博客
01-10 1221
简单记录下ObRegisterCallbacks的基本用法,以及如何用该方法控制内核对象的权限,加深一下自己的理解,也希望帮助看到的人少走这方面的弯路。
Win64 驱动内核编程-11.回调监控进线程句柄操作
天使也掉毛
03-12 5124
无HOOK监控进线程句柄操作     在 NT5 平台下,要监控进线程句柄的操作,通常要挂钩 3 个 API:NtOpenProcess、NtOpenThread、NtDuplicateObject。但是在 VISTA SP1 以及之 后的系统中,我们可以完全抛弃 HOOK 方案了,转而使用一个标准的 API:ObRegisterCallbacks。下面做一个监视进线程句柄操作的程序,并实现保
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9217
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
AIDL初探:夸进程的通信和跨进程回调机制
天花板的随笔
11-17 1987
最近一个项目涉及到跨进程的操作,我们的应用ClientApp需要用到底层的数据,但是这个数据data是在一个不断监听接收底层的服务ServiceA里面,痛苦的是这个服务是在另外一个进程里面。虽然我们可以用万能的广播机制,但这会造成系统非常大的负担。另外一种方法可以用ContentProvider,很多时候还是挺好用的,但是实时性不够,两个进程之间也缺乏交互性,所以我决定用AIDL来实现这一功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值