内核回调

最新推荐文章于 2022-10-24 09:08:03 发布
最新推荐文章于 2022-10-24 09:08:03 发布
阅读量586 收藏
点赞数
分类专栏: 内核驱动 文章标签: 内核回调
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forcj/article/details/103152473
版权

相对于各种HOOK的安全性、稳定性问题,我更喜欢使用回调来做各种监视

虽然回调函数获取各种信息的时间偏后于先手HOOK获取各种信息的时间,而且不一定可以拦截到什么,但是这更安全。

PsSetCreateProcessNotifyRoutine 进程创建回调(它的回调运行的时候,进程应该已经被创建了,但是还没有跑起来,所以这里可以实现拦截进程创建的效果)

PsSetCreateThreadNotifyRoutine 线程创建回调(检测线程创建,不知道有啥大的用处)

PsSetLoadImageNotifyRoutine 模块加载回调(检测模块加载,不知道能干啥)

PsRemoveLoadImageNotifyRoutine 模块卸载回调

CmRegisterCallback 注册表回调(似乎只能监视,无法实现匹配、拦截)

 

CmUnRegisterCallback 注册表回调卸载

等等,很多地方可能都有回调,我知道的就这几个,用过的就前四个。

平凡而伟大(心之所向)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核重载
坦然
09-12 2891
/*++ BUILD Version: 0004 // Increment this if a change has global effects Copyright (c) Microsoft Corporation. All rights reserved. You may only use this code if you agree to the terms of the Win
2.内核机制
My classmates
11-07 2248
有谁用了窗口过程? GetMessage()在处理SentMessagesListHead中消息时 DispatchMessage(&msg)在处理其他队列中的消息时 CreateWindow() 0环的一些代码也会用窗口过程,但它没有发消息给队列而是直接用窗口过程(KeUserModeCallback) NtUserCreateWindowEx()这样设计是因为,如果你程序需要...
驱动开发:内核注册并监控对象
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程,本章LyShark将通过对象实现对进程线程的句柄监控,在内核中提供了,使用这个内核函数,可注册一个对象,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都用这个函数来完成注册。函数。
内核进程遍历【记录】
WorryFree
05-15 418
通过WinDbg手动进行内核进程表遍历【记录】
驱动开发:内核监控进程与线程
热门推荐
CSDN
10-23 1万+
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个事件,当有进程或线程被创建或者注销时,系统会通过机制将该进程相关信息优先返给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防病毒程序,进程监控在防病毒程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是函数,第二个参数是是否注销,通常在驱动退出时可以传入。
驱动开发:内核中的文件
CSDN
11-01 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层用用户层API,内核内核API)以外其他基本一致,先讲解一下文件系统执行的流程。
Windows消息机制学习笔记(四)—— 内核机制
qq_41988448的博客
06-24 1033
消息机制学习笔记(四)—— 内核机制要点内核用实验1:理解内核用第一步:编译并运行以下代码第二步:修改窗口过程函数,重新运行结论KeUserModeCallback分析KeUserModeCallback 要点顾 1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列中的消息 2)DispatchMessage()用于处理其它队列中的消息。 内核用 描述:窗口过程函数除了会在消息循环中被用,一些0环的代码也可以直接发起用。 例如:窗口初始化时、窗口
函数
jfkidear的专栏
01-27 528
函数 求助编辑百科名片    函数 函数就是一个通过函数指针用的函数。如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用为用它所指向的函数时,我们就说这是函数。函数不是由该函数的实现方直接用,而是在特定的事件或条件发生时由另外的一方用的,用于对该事件或条件进行响应。 目
内核函数
maomao171314的专栏
07-05 762
Kernel Callback Functions
强大的进程管理软件powertool V3.4.2
02-28
版本:V3.4.2 目前版本主要功能: 1. 所有进程的枚举(包括内核中隐藏的进程) 2. 所有文件的枚举(包括内核中隐藏的文件) 3. 进程中所有模块的枚举(包括内核中隐藏的模块) 4. 进程的强制结束 5. 进程中模块的强制卸载 6. 模块被哪些进程加载的检索 7. 查看文件/文件夹被占用的情况 8. 可以Unlock占用文件的进程 9. 文件/文件夹的粉碎(可强删Unlocker1.8.9/金山/超级巡警文件粉碎机无法删除的顽固文件) 10. 阻止文件粉碎后用还原软件还原(采用美国国防部DOD 5220.22-m标准阻止文件还原) 11. 用磁盘解析技术检索硬盘数据 12. 内核模块和驱动的查看和管理 13. 启动项的查看和管理 14. 系统服务的查看和管理 15. 集成文件粉碎功能到系统右键菜单 16. 消息钩子的查看和卸载 17. SSDT/Shadow SSDT钩子的查看和卸载 18. 各种内核的查看和卸载 19. 多国语言版本的对应(中文和英文) 20. 暂停进程运行和恢复进程运行 21. 进程模块的内存的dump 22. 进程的线程的查看和结束 23. 进程的窗口的查看和控制 24. 进程的定时器的查看和摘除(该功能还没对应Windows2003) 25. 内核定时器的查看和摘除 26. 上传文件在线扫描病毒 27. 查看和摘除用户层的钩子 28. 查看和结束内核线程 29. 关机的清除 30. 查看和摘除mini文件驱动 31. 系统恢复功能(检测项目包括注册表关键部位,已安装的杀毒软件,AutoRun文件,Windows漏洞检测,共享文件夹) 32. 流氓快捷方式的检测和删除 33. 镜像劫持的检测和删除 34. 文件关联的检测和删除 35. IE相关的检测和删除 36. FSD Hook的检测和删除 37. Object Hook的检测和删除 38. 部分CPU/硬盘/显卡/主板的温度检测 39. 部分硬件信息的确认 40. 修复漏洞功能,可以下载和安装Windows补丁 41. IDT钩子的检测和恢复 42. 禁止进城创建,新建文件,注册表修改等配置 43. 注册表功能,几乎可以无视一切隐藏注册表的钩子 44. SPI的检测 45. 通过磁盘解析进行文件浏览 46. 文件强制拷贝功能,可拷贝网络视频的缓存文件 47. 通过磁盘解析取得和拷贝ADS流文件 48. 添加和查看文件重启删除信息 49. Disk/Atapi驱动钩子的检测和恢复 50. 进程权限的枚举和摘除 51. 检测键盘侦听软件 52. 检测被监视的文件 53. IO定时器的检测和停止 54. 工作列线程的检测和暂停 55. FAT32格式的磁盘解析 56. 新增MBR的检测和修复(可对抗鬼影等Bootkit和MBR Rootkit) 57. 新增检测被替换的或被感染的内核文件(内核文件劫持) 58. 支持多硬盘的MBR检测和恢复 59. 新增可疑设备的检测和清除
windows内核开发笔记八:内核开发函数基本介绍和基本使用场景
jyl_sh的专栏
12-15 1876
windows内核开发笔记八:内核开发函数基本介绍和基本使用场景 1.函数基本定义- 函数指针 要理解函数,首先要理解函数和函数指针,通俗点儿说,函数指针是一个指向特定函数的指针。函数的类型由其参数及返类型共同决定,与函数具体名称无关。示例代码如下:int testFun1(int param1,long param2,float param3); //普通函数定义 该函数的类型为int(int,long,float),该类型的函数指针可以定义为如下:int (*pTf)(...
深入理解
bitcarmanlee的博客
06-23 5583
1.什么是 实际项目中,服务端的同学经常会提到这个词。那么到底是什么呢? 所谓,就是客户程序C用服务程序S中的某个函数A,然后S又在某个时候反过来用C中的某个函数B,对于C来说,这个B便叫做函数。例如Win32下的窗口过程函数就是一个典型的函数。 一般说来,C不会自己用B,C提供B的目的就是让S来用它,而且是C不得不提供。由于S并不知道C提供的B叫甚名谁,所...
内核中获取设备,路径,文件信息蓝屏问题
zhuhuibeishadiao
02-12 1499
最近在写一个类似procmon的框架,写完跑了一两天没有什么问题,直到windows defender的一个进程起来之后,过一会驱动必蓝屏 于是很郁闷,看堆栈都是空的,起初以为是栈被破坏了,但是代码里面没有递归等等,基本大的变量都申请了内存,看dump说是irql过高,又看了代码,我习惯都是用非分页内存,所以不存在访问内存的问题,并且代码中都是在psl级别执行的,基本都排除了,异常点是ObpQu...
系统介绍
weixin_34400525的博客
10-28 234
目的: 遍历系统中的 类型: 与Xuetr遍历到的类型相同 如有雷同,还望见谅。。。有错误或者不恰当的地方请指正。 附件中代码大量冗余,可以将相同的部分写成一个函数,一开始没注意,懒得改了。。。 详细实现见代码 环境: WINXPSP3大量使用硬编码,本次仅在于实现我的虚拟机环境下的遍...
linux 内核,Linux 内核通知链随笔【下】
weixin_42140716的博客
04-29 255
书接上,闲话不表。话说,女神无论是在土豪或者屌丝那里都找不到归属感,冥冥之中天上掉下来一个王子(PS:又名高富帅),既可以满足女神的物质需求还可以满足女神的精神需求:点击(此处)折叠或打开/*GFS.c*/#include #include #include #include #include #include #include #include MODULE_LICENSE("GPL");/*...
Win64 驱动内核编程-13.监控模块加载
天使也掉毛
03-12 4530
监控模块加载     模块加载包括用户层模块(.DLL)和内核模块(.SYS)的加载。传统方法要监控这两者加在必须 HOOK 好几个函数,比如 NtCreateSection 和 NtLoadDriver 等,而且这些方法还不能监控未知的驱动加载方法。其实为了监控模块加载而HOOK API 是非常傻的,因为微软已经提供了一对标准的 API 实现此功能。它们 分别是 PsSetLoadIm
YAFFS跟踪
weixin_30575309的博客
11-26 189
小小地跟踪下read函数,从ssize_t read(int fd, void *buf, size_t count)到DATASHEET一到底,见证内核的分层模块化。 --内核服务例程开始提供服务-- --fs/read_write.c--SYSCALL_DEFINE3(read, unsigned int, fd, char __user *, buf, size...
linux内核socket+函数
最新发布
03-29
在Linux内核中,Socket通信的实现主要依赖于函数。 函数是一种特殊的函数,它在某个事件发生时被用。在Socket编程中,函数主要用于处理网络事件,例如接收到新的连接、接收到数据等。 在Linux内核中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值