Ps回调通知例程、Dpc定时器、内核线程使用方法.

最新推荐文章于 2023-10-07 22:09:29 发布
最新推荐文章于 2023-10-07 22:09:29 发布
阅读量1.1k 收藏
点赞数
好久没发代码了,发个以前写的东西,代码是照葫芦画瓢来的,共同学习,共同进步,欢迎拍砖.
代码: 
#ifndef _SAFENOTIFYROUTINE_H
#define _SAFENOTIFYROUTINE_H
/************************************************************************/
/************************************************************************/
#include <ntifs.h>
#include <wdm.h>
/************************************************************************/
/************************************************************************/
extern POBJECT_TYPE *PsProcessType;
typedef struct _DEVICE_TIMER 
{
  PVOID    thread_pointer;
  BOOLEAN         terminate_thread;    
  KEVENT          request_event;
  KTIMER          kTimer;
  KDPC            KiTimerExpireDpc;    
} DEVICE_TIMER, *PDEVICE_TIMER;
typedef class SafeNotifyRoutine* PSafeNotifyRoutine;
/************************************************************************/
/************************************************************************/
#endif
代码: 
#ifndef SAFENOTIFYROUTINE_H
#define SAFENOTIFYROUTINE_H
/************************************************************************/
/************************************************************************/
#include "_SafeNotifyRoutine.h"
/************************************************************************/
/************************************************************************/
class SafeNotifyRoutine
{
public:
  BOOLEAN InitializeCallBackNotify();
  BOOLEAN CleanupCallBackNotify();
  BOOLEAN InitializeTimerNotify(ULONG Millisecond);
  BOOLEAN CleanupTimerNotify();
private:
  VOID _ZeroMemoryMember();
  static VOID LoadImageNotifyCallBack(PUNICODE_STRING FullImageName,HANDLE ProcessId,PIMAGE_INFO ImageInfo);
  static VOID CreateThreadNotifyCallBack(HANDLE ProcessId,HANDLE ThreadId,BOOLEAN Create);
  static VOID CreateProcessNotifyCallBack(HANDLE ParentId,HANDLE ProcessId,BOOLEAN Create);
  static VOID DpcTimerNotifyCallBack(struct _KDPC* Dpc,PVOID DeferredContext,PVOID SystemArgument1,PVOID SystemArgument2);
  static VOID ThreadNotifyCallBack(PVOID Context);
  BOOLEAN GetFullPathByProcessId(ULONG ProcessId, PUNICODE_STRING FullImageName);
  BOOLEAN LdrLoadDllByProcessId(ULONG ProcessId,char* szDllPath);
private:
  BOOLEAN IsLoadImage;
  BOOLEAN IsCreateProcess;
  BOOLEAN IsCreateThread;
  PEPROCESS _pEprocess;
public:
  DEVICE_TIMER _Timer;
};
#endif
代码: 
/************************************************************************/
/************************************************************************/
#include "SafeNotifyRoutine.h"
/************************************************************************/
/************************************************************************/
PSafeNotifyRoutine g_pThis = NULL;
/************************************************************************/
/************************************************************************/
BOOLEAN SafeNotifyRoutine::InitializeCallBackNotify()
{
    this->_ZeroMemoryMember();
    if(!NT_SUCCESS(PsSetLoadImageNotifyRoutine(SafeNotifyRoutine::LoadImageNotifyCallBack)))
        return FALSE;
    else
        this->IsLoadImage = TRUE;
    if(!NT_SUCCESS(PsSetCreateThreadNotifyRoutine(SafeNotifyRoutine::CreateThreadNotifyCallBack)))
        return FALSE;
    else
        this->IsCreateThread = TRUE;
    if(!NT_SUCCESS(PsSetCreateProcessNotifyRoutine(SafeNotifyRoutine::CreateProcessNotifyCallBack,FALSE)))
        return FALSE;
    else
        this->IsCreateProcess = TRUE;
    g_pThis = this;
    return TRUE;
}
/************************************************************************/
/************************************************************************/
BOOLEAN SafeNotifyRoutine::InitializeTimerNotify(ULONG Millisecond)
{
    __try
    {
        LARGE_INTEGER duetime = {0};
        HANDLE ThreadHandle;
        KeInitializeEvent(&this->_Timer.request_event,NotificationEvent,FALSE);
        KeInitializeTimerEx(&this->_Timer.kTimer, NotificationTimer);
        KeInitializeDpc(&this->_Timer.KiTimerExpireDpc,SafeNotifyRoutine::DpcTimerNotifyCallBack,NULL);
        KeSetTimerEx(&this->_Timer.kTimer, duetime,Millisecond,&this->_Timer.KiTimerExpireDpc);
        this->_Timer.terminate_thread = FALSE;
        if(!NT_SUCCESS(PsCreateSystemThread(&ThreadHandle,0,NULL,NULL,NULL,SafeNotifyRoutine::ThreadNotifyCallBack,NULL)))
        {
            KdPrint(("PsCreateSystemThread Fail.\n"));
            return FALSE;
        }
        if(!NT_SUCCESS(ObReferenceObjectByHandle(ThreadHandle,THREAD_ALL_ACCESS,NULL,KernelMode,&this->_Timer.thread_pointer,NULL)))
        {
            KdPrint(("ObReferenceObjectByHandle Fail.\n"));
            ZwClose(ThreadHandle);
            this->_Timer.terminate_thread = TRUE;
            KeSetEvent(&this->_Timer.request_event,(KPRIORITY)0,FALSE);
            return FALSE;
        }
        else
        {
            ZwClose(ThreadHandle);
        }
        return TRUE;
    }
    __except(EXCEPTION_EXECUTE_HANDLER)
    {
        KdPrint(("InitializeTimerNotify Except Fail.\n"));
        return FALSE;
    }
}
/************************************************************************/
/************************************************************************/
BOOLEAN SafeNotifyRoutine::CleanupTimerNotify()
{
    __try
    {
        KeCancelTimer(&g_pThis->_Timer.kTimer);
        g_pThis->_Timer.terminate_thread = TRUE;
        KeSetEvent(&g_pThis->_Timer.request_event,(KPRIORITY)0,FALSE);
        KeWaitForSingleObject(g_pThis->_Timer.thread_pointer,Executive,KernelMode,FALSE,NULL);
        ObDereferenceObject(g_pThis->_Timer.thread_pointer);
    }
    __except(EXCEPTION_EXECUTE_HANDLER)
    {
        KdPrint(("CleanupTimerNotify Except Fail.\n"));
        return FALSE;
    }
    return TRUE;
}
/************************************************************************/
/************************************************************************/
BOOLEAN SafeNotifyRoutine::CleanupCallBackNotify()
{
    if(this->IsLoadImage)
        PsRemoveLoadImageNotifyRoutine(SafeNotifyRoutine::LoadImageNotifyCallBack);
    if(this->IsCreateThread)
        PsRemoveCreateThreadNotifyRoutine(SafeNotifyRoutine::CreateThreadNotifyCallBack);
    if(this->IsCreateProcess)
        PsSetCreateProcessNotifyRoutine(SafeNotifyRoutine::CreateProcessNotifyCallBack,TRUE);
    this->_ZeroMemoryMember();
    return TRUE;
}
/************************************************************************/
/************************************************************************/
VOID SafeNotifyRoutine::_ZeroMemoryMember()
{
    this->IsLoadImage = FALSE;
    this->IsCreateThread = FALSE;
    this->IsCreateProcess = FALSE;
}
/************************************************************************/
/************************************************************************/
VOID SafeNotifyRoutine::LoadImageNotifyCallBack(PUNICODE_STRING FullImageName,HANDLE ProcessId,PIMAGE_INFO ImageInfo)
{
    if(KeGetCurrentIrql()!=PASSIVE_LEVEL)
        return;
    DbgPrint("ImageName:%wZ ProcessId:%d\n",FullImageName,(ULONG)ProcessId);
  g_pThis->LdrLoadDllByProcessId((ULONG)ProcessId,NULL);
}
/************************************************************************/
/************************************************************************/
VOID SafeNotifyRoutine::CreateThreadNotifyCallBack(HANDLE ProcessId,HANDLE ThreadId,BOOLEAN Create)
{
    if(KeGetCurrentIrql()==PASSIVE_LEVEL&&Create)
    {
        DbgPrint("ProcessId:%d ThreadId:%d\n",(ULONG)ProcessId,(ULONG)ThreadId);
    }
}
/************************************************************************/
/************************************************************************/
VOID SafeNotifyRoutine::CreateProcessNotifyCallBack(HANDLE ParentId,HANDLE ProcessId,BOOLEAN Create)
{
    if(KeGetCurrentIrql()==PASSIVE_LEVEL&&Create)
    {
        UNICODE_STRING FullImageName = {512,1024,(PWCH)ExAllocatePoolWithTag(PagedPool,1024,'Safe')};
        g_pThis->GetFullPathByProcessId((ULONG)ProcessId,&FullImageName);
        DbgPrint("ParentId:%d ProcessId:%d FullImageName:%wZ\n",(ULONG)ParentId,(ULONG)ProcessId,FullImageName);
        ExFreePoolWithTag((PVOID)FullImageName.Buffer,'Safe');
    }
}
/************************************************************************/
/************************************************************************/
VOID SafeNotifyRoutine::DpcTimerNotifyCallBack(struct _KDPC* Dpc,PVOID DeferredContext,PVOID SystemArgument1,PVOID SystemArgument2)
{
    KdPrint(("haha dpc function work\n"));
    KeSetEvent(&g_pThis->_Timer.request_event,(KPRIORITY)0,FALSE);
}
/************************************************************************/
/************************************************************************/
VOID SafeNotifyRoutine::ThreadNotifyCallBack(PVOID Context)
{
    KeSetPriorityThread(KeGetCurrentThread(), LOW_REALTIME_PRIORITY);
    for(;;)
    {
        do
        {
            KdPrint(("thread work ok !!\n"));
            goto failselabel;
        }
        while(TRUE);
failselabel:
        KeWaitForSingleObject(&g_pThis->_Timer.request_event,Executive,KernelMode,FALSE,NULL);
        KeResetEvent(&g_pThis->_Timer.request_event);
        if(g_pThis->_Timer.terminate_thread)
            PsTerminateSystemThread(STATUS_SUCCESS);
    }
}
/************************************************************************/
/************************************************************************/
BOOLEAN SafeNotifyRoutine::GetFullPathByProcessId(ULONG ProcessId, PUNICODE_STRING FullImageName)
{
    HANDLE ProcessHandle = NULL;
    ULONG NumberOfBytes = 8;
    if(!NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)ProcessId,&this->_pEprocess)))
    {
        KdPrint(("PsLookupProcessByProcessId Fail\n"));
        return FALSE;
    }
    if(!NT_SUCCESS(ObOpenObjectByPointer(this->_pEprocess,OBJ_KERNEL_HANDLE ,0,GENERIC_READ,*PsProcessType,0,&ProcessHandle)))
    {
        KdPrint(("ObOpenObjectByPointer Fail\n"));
        return FALSE;
    }
    if(!NT_SUCCESS(NtQueryInformationProcess(ProcessHandle,ProcessImageFileName,0,0,&NumberOfBytes)))
    {
        KdPrint(("NtQueryInformationProcess Fail\n"));
        return FALSE;
    }
    if(FullImageName->MaximumLength<NumberOfBytes-sizeof(UNICODE_STRING))
    {
        KdPrint(("FullImageName->MaximumLength Buffer Length Too Small\n"));
        return FALSE;
    }
    PUNICODE_STRING TmpImageName= (PUNICODE_STRING)ExAllocatePoolWithTag(PagedPool,NumberOfBytes,'Safe');
    if(TmpImageName==NULL)
    {
        KdPrint(("ExAllocatePoolWithTag Fail\n"));
        return FALSE;
    }
    if(NT_SUCCESS(NtQueryInformationProcess(ProcessHandle,ProcessImageFileName,TmpImageName,NumberOfBytes,&NumberOfBytes)))
    {
        KdPrint(("FullImageName %wZ\n",TmpImageName->Buffer));
        wcsncpy(FullImageName->Buffer,TmpImageName->Buffer,TmpImageName->Length);
    }
    ExFreePoolWithTag((PVOID)TmpImageName,'Safe');
    return (NT_SUCCESS(ZwClose(ProcessHandle)));
}
/************************************************************************/
/************************************************************************/
BOOLEAN SafeNotifyRoutine::LdrLoadDllByProcessId(ULONG ProcessId,char* szDllPath)
{
  HANDLE ProcessHandle = NULL;
  PVOID pMemSpace = NULL;
  if(!NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)ProcessId,&this->_pEprocess)))
  {
    KdPrint(("PsLookupProcessByProcessId Fail\n"));
    return FALSE;
  }
  ULONG size = 2000;
  if(!NT_SUCCESS(ObOpenObjectByPointer(this->_pEprocess,OBJ_KERNEL_HANDLE,NULL,PROCESS_ALL_ACCESS,NULL,KernelMode,&ProcessHandle)))
  {
    KdPrint(("ObOpenObjectByPointer Fail\n"));
    return FALSE;
  }
  if(!NT_SUCCESS(NtAllocateVirtualMemory(ProcessHandle,&pMemSpace,0,&size,MEM_COMMIT,PAGE_EXECUTE_READWRITE)))
  {
    KdPrint(("NtAllocateVirtualMemory Fail\n"));
    return FALSE;
  }
  if(ProcessHandle!=NULL)
    ObfDereferenceObject(ProcessHandle);
  DbgPrint("MEM SPACE ADDR:%x\n",(ULONG)pMemSpace);
}

kingswb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实验7. 单片机入门高级实验例程-定时器做普通时钟可调.zip
12-25
单片机入门高级实验例程-定时器做普通时钟可调”着重于利用定时器构建一个可调节的普通时钟。下面我们将详细探讨这个实验涉及的知识点。 1. **单片机基础知识**:单片机是集成了CPU、内存、输入输出接口等组件的...
关于内核定时器,DPC,线程使用
kingswb的博客
06-19 2625
[cpp] view plain copy 关于内核定时器,及DPC使用,看来一些代码,这个估计是比较规范的用法了,很基础,希望对新手有帮助   注意,这里的定时器不太精确!   [cpp] view plain copy #include    typedef struct _DEVICE_EXTENSION {
两个关于Windows 简短内核函数的还原
pureman_mega的博客
12-18 279
拿到一份PE文件,从何处开始下手呢?当文件不是很大时,从头到尾式的分析方法勉强可以承受不会消耗太多时间,但是当文件大小是上百kb或者更大时,我们就要调整一下策略了。分析恶意文件的目的就是要弄清它要干什么,怎么干的,利用了那些系统的机制或缺陷漏洞;比较熟悉时还可以想想处理办法,自己试着还原部分重要的工作。
windows内核编程(2021年出版)笔记
最新发布
冰糖葫芦的夏天的博客
10-07 514
IRP由执行体中IO管理器、即插即用管理器、电源管理器之一从非分页池中分配,也可由驱动程序分配IRP遵循谁分配谁释放的原则IRP从不单独分配,总是伴随着一个或多个一起分配当一个IRP被分配时,调用者必须指明有多少个需要跟IRP一起分配在内存中紧跟IRP后面,且每一个对应设备栈中的一个设备对象当收到IRP时,需要通过调用函数获得属于当前驱动使用的。
定位KeIpiGenericCall函数地址
陈刚编程心得与知识集
03-06 1159
本来想特征码定位.翻了一下WRK.发现并没有在导出函数中使用. 只有KeAdjustInterruptTime.KiInitMachineDependent等寥寥无几的函数使用了它. 求教前辈们有什么办法定位到KeIpiGenericCall函数地址吗?
揪出那些在Windows操作系统中注册的WFP函数
q6771020的博客
01-26 694
首先,minifilter有!fltkd.的命令,ndis有!ndiskd.的命令,但是WFP却没有类似的命令。 尽管有netsh wfp的命令和类似的接口/API(FwpmEnum),但是都没有获取到注册的函数的. 有些用户,包括自己,是尽量想获取到注册的函数,而不止是那些注册的信息。 所以,出现了本文。 分析的办法有二, 一正向分析,分析注册的函数(FwpsCalloutRegister),步步跟踪。 二逆向分析,在注册的函数上下断点,根据调用栈步步向上逆向跟踪。 上面是引子 下面是方案
易语言源码多线程使用例程.rar
03-30
通过分析和学习这个"多线程使用例程",你可以了解到如何在易语言中创建、管理、同步线程,以及如何处理线程间的通信和异常。这些知识对于开发高效、稳定的多线程程序至关重要。实践中,你可以逐步尝试修改例程,增加...
串口屏LUA例程-常用的回调函数使用说明V1.0.pdf
10-12
串口屏LUA例程-常用的回调函数使用说明V1.0.pdf(本文将介绍大彩LUA脚本API函数中的回调函数使用方法,以及调用回调函数的注意事项。)
PLC例程-用定时器写左右流水灯.rar
04-27
PLC专为在工业环境下应用而设计,它采用可编程序的存储器,用来在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令,并通过数字式、模拟式的输入和输出,控制各种类型的机械或生产过程。...
完整版多线程例程-黑客帝国特效.bak.rar
04-02
完整版多线程例程-黑客帝国特效.bak.rar
驱动开发:内核监控进程与线程回调
m0_56069948的博客
10-23 604
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
内核dpc定时器使用
haodawei123的博客
02-02 1149
#include &amp;amp;amp;lt;ntddk.h&amp;amp;amp;gt; #define PAGEDCODE code_seg(“PAGE”) #define LOCKEDCODE code_seg() #define INITCODE code_seg(“INIT”) #define PAGEDDATA data_seg(“PAGE”) #define LOCKEDDATA data_seg() #define INI...
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 6745
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
在Win7 x64通过PspCidTable枚举进程
qq269813279的博客
06-13 2058
PspCidTable存放着一个结构为_HANDLE_TABLE的指针,_HANDLE_TABLE结构记录句柄表的相关信息,句柄表存放着所有进程和线程的对象,其索引就是PID和TID,在WinDbg看一下相关的结构。我们遍历进程对象需要关注两个成员,第一个是TableCode,第二个是NextHandleNeedingPool。TableCode:该成员记录表级和表地址,低2位记录着表的级数,掩掉...
内核dpc定时器
sanfenlu的专栏
04-12 772
另外,应用程序每次取声音的数据量是根据系统的声音设置而定的,系统声音设置“录制”属性中设置44100每次取1764,设置48000每次取1920。默认值是第一次安装驱动中的接口而定的。应用程序每次只请求1764个字节,每一个中断对应有1920个字节,这样每一个中断就会在驱动中累积156个字节而导致数据在驱动中溢出。总数据量:48000*2*2=192000,应用程序每次请求1920个字节,驱动中的CELL刚好也是1920,这样就每一个中断往应用层写入一次,每秒刚好有100个中断(192000/1920)。
驱动开发:内核注册并监控对象回调
热门推荐
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了回调使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
windows内核开发学习笔记四十一:内核对象管理机理
jyl_sh的专栏
07-03 466
对象管理器是执行体中的组件,主要管理执行体对象。执行体对象也可能封装了一个或多个内核对象。
基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建(禁用QQ 360等exe可执行文件)
苞米地里捉小鸡的博客
09-20 2785
对于内核层实现监控进程的创建或者退出,你可能第一时间会想到 HOOK 内核函数 ZwOpenProcess、ZwTerminateProcess 等。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上进程的创建和退出的情况。即 PsSetCreateProcessNotifyRoutineEx 内核函数,可以设置一个回调函数,来监控
[windows 驱动开发] 不触发 PG 的 Object Protect
LYSM
04-13 993
首先,最高效的应该是这种办法,但是最不稳定的也是这种办法。 虽然不会触发 PG ,但是由于调用方太多了,所以动不动炸进程或者蓝屏。 进程对象(EPORCESS)->PsProcessType 线程对象(PETHREAD)->PsThreadType 文件对象(FileObject)->IoFileObjectType … 具体流程不分析大概是这样,创建对象->Ob插入对象->系统访问(对象,这些对象是分配出来的不归PG管理)->根据对象Index->寻找对应Ob回调
imx6ull 内核 epit定时器字符驱动使用例程
04-05
以下是一个简单的例程,用于使用imx6ull内核的epit定时器字符驱动: ```c #include <linux/module.h> #include <linux/init.h> #include <linux/fs.h> #include <linux/cdev.h> #include <linux/device.h> #include...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值