Windows内核新手上路3——挂钩KeUserModeCallBack

最新推荐文章于 2024-08-13 01:57:14 发布
最新推荐文章于 2024-08-13 01:57:14 发布
阅读量2.6k 收藏 4
点赞数
分类专栏: Windows内核新手上路 文章标签: windows keyboard hook struct api exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gimbow/article/details/5882572
版权
本文介绍了Windows内核中的KeUserModeCallback调用机制,及其在挂钩技术中的应用。通过Inline Hook的方式,文章详细阐述了如何过滤不同类型的钩子,包括WH_KEYBOARD_LL、WH_KEYBOARD、WH_DEBUG、Ke_LoadLibrary和WH_JOURNALRECORD,以防止恶意程序获取键盘输入。同时,文中提到在某些场景下,需要修正虚拟键盘产生的虚假按键以确保正确的行为。
摘要由CSDN通过智能技术生成

Windows内核新手上路3——挂钩KeUserModeCallBack

1.     简介

Windows系统中,提供了几种方式从R0调用位于R3的函数,其中一种方式是KeUserModeCallBack,此函数流程如下:

nt!KeUserModeCallback->nt!KiCallUserMode->nt!KiServiceExit->ntdll!KiUserCallbackDispatcher->回调函数-> int2B->nt!KiCallbackReturn-> nt!KeUserModeCallback(调用后)这是一个 ring0->ring3->ring0的过程,在堆栈准备完毕后,借用KiServiceExit的力量回到了ring3,它的着陆点是 KiUserCallbackDispatcher,然后KiUserCallbackDispatcherPEB中取出 KernelCallbackTable的基址,再以ApiIndex作为索引在这个表中查找对应的回调函数并调用,调用完之后再int2B触发 nt!KiCallbackReturn再次进入内核,修正堆栈后跳回KeUserModeCallback,完成调用。

系统所有的消息钩子回调都是利用KeUserModeCallBack完成的。所以可以通过挂钩KeUserModeCallback用来过滤对钩子的调用。

1.1 inline hook

KeUserModeCallback没有对应的R3调用接口,所以没有在SSDT SHADOW中出现,需要用另外的方式来HOOK,可以采用的Inline Hook,即在函数头部加入一条JMP指令(机器码E9)跳入代理函数,然后过滤之后决定是否调用真实的KeUserModeCallback函数。挂钩过程如下:

ULONG StartHookKeyUserModeCallBack()

{

         ULONG tmp;

         memset (Ori_Func, 0x90, 100); // nop

         Ori_Func[50] = 0xE9;

         tmp = (ULONG)ProxyFunc - (ULONG)KeUserModeCallback - 5;

         memcpy(jmp_bytes+1, &tmp, 4);

         HeadLen = GetPatchSize (KeUserModeCallback, 5);

         memcpy(Ori_Func, (PVOID)KeUserModeCallback, HeadLen); //原始字节

         //中间跳

         tmp = (ULONG)KeUserModeCallback + HeadLen - (ULONG)(&Ori_Func[50]) - 5;

         memcpy(&Ori_Func[51], &tmp, 4);
最低0.47元/天 解锁文章
gimbow
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
KeUserModeCallback
09-08
KeUserModeCallback
Android系统的智能指
10-31
3. **弱指针(Weak Pointer)** 弱指针的设计是为了处理循环引用的问题。当一个对象通过弱指针被引用时,它不会影响对象的引用计数。弱指针不会阻止对象被垃圾收集,即使它是唯一指向该对象的指针。弱指针通常用于...
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2632
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
自己重新写的KeUserModeCallBack 例子,比网上的代码改进很多,请大家指教!
gold0523的专栏
08-14 1783
标 题: 【分享】【原创】自己重新写的KeUserModeCallBack 例子,比网上的代码改进很多,请大家指教! 作 者: czcqq 时 间: 2011-08-09,01:49:10 链 接: http://bbs.pediy.com/showthread.php?t
(转)挂钩KeUsermodeCallback函数来实现自己的“财产保镖“
weixin_30783629的博客
12-20 225
http://bbs.pediy.com/showthread.php?t=145687 作 者: liukeblue通过挂钩KeUserModeCallback这个未公开的函数可以实现对Ke_LoadLibrary、WH_KEYBOARD_LL等进行拦截,这个函数也可以用来在Ring0下调用Ring3代码,如果需要更进一步了解,可以去黑月教主的百度blog上去看看。下面我们来实现拦...
黑客防线2014年8期杂志
09-16
KeUserModeCallback原理概述及其InlineHook程序设计(弭相辰) 攻破新浪通行证登录验证实现自动登录(耿靓) 网络分析器使用完全接触(xfeng) 自编调试器结束金山毒霸(李旭昇) Android系统进程保护浅析(马智超)...
VISTA 系统学习手册
06-30
VISTA系统,全称为Windows Vista,是微软公司在2006年发布的一款操作系统,是对Windows XP的升级版本。本手册旨在帮助用户深入了解和熟练掌握Vista系统的各项功能和操作技巧,尤其适合对Vista系统不熟悉的学习者。...
XT3.9免费下载
08-25
新增KeUserModeCallback函数使用的用户态_apfnDispatch函数数组Hook检测 3.新增LSP和安全模式修复功能 4.注册表部分新增查找隐藏项功能,并修正了注册表查找不好使Bug 5.修正几处Bug(感谢dl123100、JuncoJet等朋友...
驱动里执行应用层代码之KeUserModeCallBack,支持64位win7(包括WOW64)
热门推荐
fanxiushu的专栏
07-26 1万+
by Fanxiushu            2014-07-26 在驱动层(ring0)里执行应用层(ring3)代码,这是个老生常谈的技术,而且方法也挺多。 这种技术的本质:其实就是想方设法在驱动层里把应用层代码弄到应用层去执行。 比如在APC异步调用中,KeInsertQueueApc,KeInitializeApc等函数中可设置一个在ring3层执行一个回调函数,这样就可以
Delphi IATHook API
10-09
Delphi的IAT API Hook 算還沒完成 但已經可以實現Hook了 還沒搞定CreateRemoteThread 所以只能修改自己得IAT(好爛)
【旧文章搬运】关于在指定进程调用KeUserModeCallback的问题
weixin_30433075的博客
12-27 134
原文发表于百度空间,2010-10-07========================================================================== 由于KeUserModeCallback的工作原理,对调用者线程和进程有以下要求: 1、调用者线程不能是纯内核线程(由PsCreateSystemThread创建的线程) 2、调用者线程必须在...
KeUserModeCallback 用法详解
lionzl的专栏
03-02 1172
KeUserModeCallback用法详解本帖被 xIkUg 执行置顶操作(2010-01-11) ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:Copy codeNTSTATUSKeUserModeCallback (    IN ULONG ApiNumber,   
windows防键盘监控
wwpp的博客
06-16 740
windows下应用层键盘监控的几种方式,以及部分方式的防御
DLL注入技术
Karka_的博客
08-11 395
DLL是windows平台提供的一种模块共享和重用机制,它本身不能直接独立运行,但可以被加载到其他进程中间接执行。DLL注入,是将代码插入/注入到正在运行的进程中的过程。本来是软件用于向其他程序添加/扩展功能、调试或逆向工程的一种合法技术。不过,后来恶意软件也常用这种方式来干坏事。是一种广泛应用于恶意软件和无文件攻击中的逃避技术。
Windows消息机制学习笔记(四)—— 内核回调机制
qq_41988448的博客
06-24 1056
消息机制学习笔记(四)—— 内核回调机制要点回顾内核调用实验1:理解内核调用第一步:编译并运行以下代码第二步:修改窗口过程函数,重新运行结论KeUserModeCallback分析KeUserModeCallback 要点回顾 1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列中的消息 2)DispatchMessage()用于处理其它队列中的消息。 内核调用 描述:窗口过程函数除了会在消息循环中被调用,一些0环的代码也可以直接发起调用。 例如:窗口初始化时、窗口
[翻译] Kernel Attacks through User-Mode Callbacks
WocW的博客
05-26 709
前言 本篇属于前置知识,在后续的CVE复现中需要使用到。原文为英文,一边翻译一边记笔记了!尽量用中文描述的浅显易懂一些。 原文传送门 1. 背景知识 1.1 Win32k.sys介绍 ​ Win32k本质上由三个主要组件组成:图形设备接口(GDI)、窗口管理器(用户)和支持XP/2000和Longhorn (Vista)显示驱动程序模型的DirectX api(有时也被认为是GDI的一部分)。窗口管理器负责管理Windows用户界面,例如控制窗口显示、管理屏幕输出、从鼠标和键盘收集输入以及向应用程序传递
黑月教主工具脱水印_PS三种去水印方法简单粗暴!看完你就学会!
weixin_39633102的博客
12-20 4697
原标题:PS三种去水印方法简单粗暴!看完你就学会!HI,大家好。今天教大家怎么去除有水印的图片,只需要3种方法,简单粗暴看完就学会。废话不多说,表演现在开始! 方法一:利用PS污点修复画笔工具消除图片水印选择污点修复工具后,在需要消除的水印上面轻轻的一划就没有了。 (注意事项:这种方法适合图片简单,画面内容重复性高的图片)方法二:利用PS里面内容识别功能消除水印首先选中套索工具,圈中需要消除的水印...
通过 Windows 用户模式回调实施的内核攻击
顶峰
12-16 274
十五年之前,Windows NT 4.0 引入了 win32k.sys 来应对旧的客户端-服务端图形子系统模型的固有限制。至今为止,win32k.sys 仍旧是 Windows 架构的基础组件之一,管理着窗口管理器(User)和图形设备接口(GDI)。为了更精确地与用户模式数据相连接,win32k.sys 使用了用户模式回调:一种允许内核反向调用到用户模式的机制。用户模式回调启用各种任务,例如调用应用程序定义的挂钩、提供事件通知,以及向/从用户模式拷贝数据等。
Windows11下wsl闪退的解决
最新发布
Coder-thinking的博客
08-13 502
windows11下的wsl闪退问题的解决。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值