内核回调函数

最新推荐文章于 2023-09-01 00:12:11 发布
最新推荐文章于 2023-09-01 00:12:11 发布
阅读量732 收藏 1
点赞数 1
分类专栏: 杂项 文章标签: Kernel Callback
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maomao171314/article/details/125619652
版权

内核回调函数

本文提供了 Windows 内核导出的所有 API 的完整列表,用于驱动程序写入注册由内核组件在各种情况下调用的回调例程。这些例程中的大多数都记录在 Windows 驱动程序工具包 (WDK) 中,但其中一些供内置驱动程序使用。未文档化的函数进行了简要描述,而此处仅列出了已文档化的函数以供参考。

已文档化函数

CmRegisterCallbackEx()

ExAllocateTimer()

ExInitializeWorkItem()

ExRegisterCallback()

FsRtlRegisterFileSystemFilterCallbacks()

IoInitializeThreadedDpcRequest()

IoQueueWorkItem()

IoRegisterBootDriverCallback()

IoRegisterContainerNotification()

IoRegisterFsRegistrationChangeEx()

IoRegisterFsRegistrationChangeMountAware()

IoRegisterPlugPlayNotification()

IoSetCompletionRoutineEx()

IoWMISetNotificationCallback()

KeExpandKernelStackAndCalloutEx()

KeInitializeApc()

KeInitializeDpc()

KeRegisterBugCheckCallback()

KeRegisterBugCheckReasonCallback()

KeRegisternmiCallback()

KeRegisterProcessorChangeCallback()

KeRegisterProcessorChangeCallback()

ObRegisterCallbacks()

PoRegisterDeviceNotify()

PoRegisterPowerSettingCallback()

PsCreateSystemThread()

PsSetCreateProcessNotifyRoutineEx()

PsSetCreateThreadNotifyRoutine()

PsSetLoadImageNotifyRoutine()

SeRegisterLogonSessionTerminatedRoutine()

TmEnableCallbacks()

未文档化函数

DbgSetDebugPrintCallback() 安装或删除调用方提供的回调函数,每当调用 DbgPrint()、KdPrint() 及其变化形式都会调用该函数,从而使他们能够访问格式化的调试输出缓冲区。当系统不在内核调试器的控制下运行时,并且用户希望检查 DbgPrint 的外部,这很有用。SysInternals 的 DbgView 工具使用此 API 来捕获和显示内核组件的输出。多个调用方可以安装回调,所有这些回调都存储在一个双链表中,其头部位于RtlpDebugPrintCallbackList。RtlpDebugPrintCallbackLock 上的锁保护此列表。RtlpDebugPrintCallbacksActive 中的返回值确定是否有任何驱动程序安装了此类回调。此功能的原型在 WDK 中可用,如下所示:

VOID (*PDEBUG_PRINT_CALLBACK) (
    _In_ PSTRING Output,
    _In_ ULONG ComponentId,
    _In_ ULONG Level );


NTSTATUS DbgSetDebugPrintCallback (
    _In_ PDEBUG_PRINT_CALLBACK DebugPrintCallback,
    _In_ BOOLEAN Enable );

IoRegisterPriorityCallback() 由存储 I/O 驱动程序(如 classpnp.sys)用于注册回调(例如 CLASSPNP!ClassIoBoostPriority),用于通知驱动程序有关驱动程序当前拥有的 IRP 中的 I/O 优先级更改。线程的 I/O 优先级得到提升,以缓解涉及具有不同 I/O 优先级的线程的优先级反转问题。Windows Internals 书籍第 6 版在第 8 章中对此进行了描述。回调存储在数组 IopUpdatePriorityCallbackRoutine[] 中,该数组最多可以容纳 8 个回调。IoBoostThreadIoPriority 负责进行回调。此函数的原型(如下所示)在 WDK 中不可用:

VOID (*PIO_PRIORITY_CALLBACK) (
    _In_ PDRIVER_OBJECT DriverObject,
    _In_ PDEVICE_OBJECT DeviceObject,
    _In_ PETHREAD Thread,
    _In_ IO_PRIORITY_HINT PriorityHint );


NTSTATUS IoRegisterPriorityCallback (
    _In_ PDRIVER_OBJECT DriverObject,
    _In_ PIO_PRIORITY_CALLBACK  Callback  );


VOID IoUnregisterPriorityCallback (
    _In_ PDRIVER_OBJECT DriverObject );

PoRegisterCoalescingCallback() 被 Cache Manager、Configuration Manager 和 NTFS 等调用方用来注册 I/O 合并通知。回调函数存储在一个数组 PopIssueCoalescingNotification[] 中,该数组最多可以容纳 8 个这样的回调。系统将通知已注册的调用方切换其 I/O 合并状态或在系统空闲状态期间刷新挂起的 I/O 操作,以便可以向下旋转磁盘。函数 PopIssueCoalescingNotification 执行 I/O 合并通知。此函数的原型(如下所示)在 WDK 中不可用:

VOID (*PPO_COALESCING_CALLBACK) (
    _In_ ULONG Reason,
    _In_ PDEVICE_OBJECT DeviceObject,
    _In_ PVOID Context );

 
NTSTATUS PoRegisterCoalescingCallback (
    _In_ PPO_COALESCING_CALLBACK Callback,
    _In_ BOOLEAN ClientOrSrever,
    _Out_ PVOID* Handle,
    _In_ PVOID Context );


VOID PoUnregisterCoalescingCallback (
    _In_  PVOID Handle);

PsSetLegoNotifyRoutine() 用于注册一个在线程终止期间由内核调用的例程。KTHREAD 结构包含一个名为 LegoData 的指针大小的字段,系统中的单个内核组件可以使用该字段来存储每个线程的数据。这在功能上类似于用户模式线程本地存储 (TLS),但仅限于每个线程一个插槽。内核模式驱动程序可以动态分配特定于线程的上下文,并将其存储在 KTHREAD 中。LegoData,根据需要检索它,然后在乐高通知例程中释放它。PsSetLegoNotifyRoutine() 注册的回调存储在内核全局 PspLegoNotifyRoutine 中。使调用方能够访问 KTHREAD。LegoData 在不了解 KTHREAD 布局的情况下,PsSetLegoNotifyRoutine() 返回 KTHREAD 的偏移量。调用方可用于直接访问内容的 LegoData 字段。此函数的原型(如下所示)在 WDK 中不可用:

VOID (*PLEGO_NOTIFY_ROUTINE)(
    _In_ PKTHREAD Thread  );

ULONG PsSetLegoNotifyRoutine(
    _In_ PLEGO_NOTIFY_ROUTINE Routine );

SeRegisterImageVerificationCallback() 被反恶意软件驱动程序(如内置的 Windows Defender 驱动程序 (WdFilter.sys) 用于注册回调(例如 WdFilter!MpImageVerificationCallback),每次将驱动程序映像加载到内存中时都会调用它。SeValidateImageHeader() 将工作项例程 SepImageVerificationCallbackWorker() 排队,该例程负责调用所有已注册的图像验证回调。图像验证回调以这种延迟方式调用,以免在验证图像时阻塞驱动程序加载过程。在此回调中,驱动程序读取BDCB_IMAGE_INFORMATION中捕获的信息,并使用自己的专有算法来确定通过将新的驱动程序映像加载到内存中并随后采取适当的操作,系统状态是否可能受到威胁。SeUnregisterImageVerificationCallback() 用于注销回调。此功能的原型在 WDK 中可用,如下所示:

VOID (*PSE_IMAGE_VERIFICATION_CALLBACK_FUNCTION) (
    _In_opt_ PVOID CallbackContext,
    _In_ SE_IMAGE_TYPE ImageType,
    _Inout_ PBDCB_IMAGE_INFORMATION ImageInformation );


NTSTATUS SeRegisterImageVerificationCallback (
    _In_ SE_IMAGE_TYPE ImageType,
    _In_ SE_IMAGE_VERIFICATION_CALLBACK_TYPE CallbackType,
    _In_ PSE_IMAGE_VERIFICATION_CALLBACK_FUNCTION CallbackFunction,
    _In_opt_ PVOID CallbackContext,
    _Reserved_ SE_IMAGE_VERIFICATION_CALLBACK_TOKEN Token,
    _Out_ PVOID* CallbackHandle );


VOID SeUnregisterImageVerificationCallback (
    _In_ PVOID CallbackHandle );

maomao171314
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2.内核机制
My classmates
11-07 2241
有谁用了窗口过程? GetMessage()在处理SentMessagesListHead中消息时 DispatchMessage(&msg)在处理其他队列中的消息时 CreateWindow() 0环的一些代码也会用窗口过程,但它没有发消息给队列而是直接用窗口过程(KeUserModeCallback) NtUserCreateWindowEx()这样设计是因为,如果你程序需要...
windows内核开发学习笔记二十:补充基本概念的学习——函数
jyl_sh的专栏
05-26 946
windows内核开发学习笔记二十:补充基本概念的学习——函数 函数由系统用,所以可以认为它属于 WINDOWS 系统,不要把它当作你的某个类的成员函数函数 是一个程序员不能显式用的函数;通过将函数 的地址传给用者从而实现用。函数使用是必要的,在我们想通过一个统一接口实现不同的内容,这时用函数非常合适。 比如,我们为几个不同的设备分别写了不同的显示函数: void TVshow(); void ComputerShow(); void NoteBookSh...
windows内核开发笔记八:内核开发函数基本介绍和基本使用场景
jyl_sh的专栏
12-15 1853
windows内核开发笔记八:内核开发函数基本介绍和基本使用场景 1.函数基本定义- 函数指针 要理解函数,首先要理解函数函数指针,通俗点儿说,函数指针是一个指向特定函数的指针。函数的类型由其参数及返类型共同决定,与函数具体名称无关。示例代码如下:int testFun1(int param1,long param2,float param3); //普通函数定义 该函数的类型为int(int,long,float),该类型的函数指针可以定义为如下:int (*pTf)(...
Linux内核模块间函数用正确方法
热门推荐
xhz1234的专栏
03-15 1万+
转载注明出处 : http://blog.csdn.net/xhz1234/article/details/44257293 Copyright 徐洪志(MacroSAN). All rights reserved.模块之间发生用关系是常有的事情,下面以两个模块A、B,B使用A模块提供的函数为例,讲解正确使用的方法。模块A中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL将要提供
函数详解
小鼠标的博客
03-01 1141
函数这个名字取十分形象,过头再,处理完在用下面以几个例子:第一层抽象,(1). A类有个B类的对象(可以对B类进行用) (2). B类有个计算 今天温度的方法C(object) (3). A有个打印字符串的方法 D(String dataStr) (4). 此时 A类用B类C(object)方法,object传入A.this(A类的对象),计算是需要时间的,虽然很快,B类计
向 SetTimer的函数传递参数
08-04
定时器事件的响应函数,即 VOID CALLBACK TimerProc() 不是由用户程序自己用的,而是根据时钟事件借由操作系统内核用的;那么,如何利用这些形式参数,传递程序逻辑处理所需要的参数呢?本文给出一个解决方案,...
c语言指针函数最全demo实例(简单明了一看就会)
05-30
在C语言中,指针和函数是两个非常重要的概念,它们在编程中扮演着核心角色,尤其是在处理复杂数据结构、高效算法以及模块化设计时。指针是C语言的精髓,它允许我们直接操作内存地址,而函数则允许我们将函数...
易语言模块2.2
08-16
易语言模块2.2源码 系统结构:取_类_函数地址,辅_字节集到子程序地址,取变量地址_字节集,到数值_从子程序指针,到子程序指针_从数值,取上层函数首参,get_retn_code,辅_生成_方法
内核:系统1
08-03
在Windows操作系统中,内核级编程涉及到对系统关键功能的直接干预,其中系统是实现特定功能的重要手段。在x64架构的内核中,系统允许...正确理解和使用这些函数对于开发高效且安全的内核级驱动至关重要。
iocalldriver.rar
04-05
- 在易语言驱动中,可能需要定义和注册函数,以便在特定条件下(如读写操作完成或设备状态改变)进行响应。 - 函数的设计需要考虑线程安全和同步问题,以确保在多线程环境下的正确运行。 4. **IRP的生命...
ntoskrnl.exe.c 导出函数 常用2000 个内核函数
05-14
//CmRegisterCallback 监控注册表 //CmRegisterCallbackEx 监控注册表 //PsRemoveCreateThreadNotifyRoutine //取消线程拦截 取消线程监控 //PsRemoveLoadImageNotifyRoutine //取消模块拦截 取消模块监控 //PsRestoreImpersonation //PsResumeProcess //PsReturnPoolQuota //PsReturnProcessNonPagedPoolQuota //PsReturnProcessPagedPoolQuota //PsRevertThreadToSelf //PsRevertToSelf //PsSetContextThread //设置线程环境 //PsSetCreateProcessNotifyRoutine //拦截进程 //PsSetCreateProcessNotifyRoutineEx //拦截进程 进程监控 //PsSetCreateThreadNotifyRoutine //线程监控 线程拦截 //PsSetCurrentThreadPrefetching //PsSetJobUIRestrictionsClass //PsSetLegoNotifyRoutine //PsSetLoadImageNotifyRoutine 拦截模块加载 //PsSetProcessPriorityByClass
Windows消息机制学习笔记(四)—— 内核机制
qq_41988448的博客
06-24 1010
消息机制学习笔记(四)—— 内核机制要点内核用实验1:理解内核用第一步:编译并运行以下代码第二步:修改窗口过程函数,重新运行结论KeUserModeCallback分析KeUserModeCallback 要点顾 1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列中的消息 2)DispatchMessage()用于处理其它队列中的消息。 内核用 描述:窗口过程函数除了会在消息循环中被用,一些0环的代码也可以直接发起用。 例如:窗口初始化时、窗口
华大HC32F460NMI中断实验
ZhuoWuKeJi的博客
12-22 526
华大HC32F460NMI中断实验
驱动开发:内核注册并监控对象
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程,本章LyShark将通过对象实现对进程线程的句柄监控,在内核中提供了,使用这个内核函数,可注册一个对象,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都用这个函数来完成注册。函数
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4539
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
Windows下CmRegisterCallback简单分析
操作系统内核与逆向工程
07-23 831
IDA看一下 进入Internal函数 signed __int64 __fastcall CmpRegisterCallbackInternal(__int64 Function, __int64 Context, const void **CmLegacyAltitude, char c_1, _QWORD *Cookie) { __int64 _Context; // rsi __int6...
Windows内核沙盒原理详解
tianxilink的博客
09-01 461
沙盒​ 在计算机领域指一种虚拟技术,它实际上是一种安全体系,且多用于计算机安全技术。其原理是通过重定向技术,把程序生成和修改的文件定向到自身文件夹中。本文主要探讨沙盒的内核实现原理
Python 形参和实参,局部变量和全局变量的含义理解及使用
Liii_NN的博客
09-15 2678
1、形参和实参 1.1 形参的含义及使用 1.2 实参的含义及使用 2、局部变量和全局变量 2.1 变量作用域的概念 2.2 局部变量 2.3 全局变量 2.4 修改全局变量值
ELAM驱动程序(优先启动反病毒驱动程序)
yeshahayes的博客
02-18 2098
WDK中ELAM驱动示例 从MSDN中摘抄的关于这种驱动的简介。链接 简介   从Windows8起,微软为反病毒软件增加的新的驱动类型:Early-Lunch Anti-Malware驱动(ELAM驱动)。这种驱动启动的比其他boot类型的驱动更加早并且提供了向ELAM驱动通知正在被加载的普通boot型驱动,以让反病毒软件有机会在boot型驱动加载前检测并决定是否加载这些驱动。 ...
linux内核socket+函数
最新发布
03-29
在Linux内核中,Socket通信的实现主要依赖于函数函数是一种特殊的函数,它在某个事件发生时被用。在Socket编程中,函数主要用于处理网络事件,例如接收到新的连接、接收到数据等。 在Linux内核中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值