通过WinDbg收集关于ExCreateCallback的信息

最新推荐文章于 2022-01-11 10:14:26 发布
最新推荐文章于 2022-01-11 10:14:26 发布
阅读量409 收藏
点赞数 1
分类专栏: c/c++ 文章标签: 对象 callback
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/78947710
版权 
lkd> dt nt!_object_attributes
   +0x000 Length           : Uint4B
   +0x004 RootDirectory    : Ptr32 Void
   +0x008 ObjectName       : Ptr32 _UNICODE_STRING
   +0x00c Attributes       : Uint4B
   +0x010 SecurityDescriptor : Ptr32 Void
   +0x014 SecurityQualityOfService : Ptr32 Void  
  关于Attributes的取值:
  #define OBJ_INHERIT             0x00000002L
  #define OBJ_PERMANENT           0x00000010L
  #define OBJ_EXCLUSIVE           0x00000020L
  #define OBJ_CASE_INSENSITIVE    0x00000040L
  #define OBJ_OPENIF              0x00000080L
  #define OBJ_OPENLINK            0x00000100L
  #define OBJ_KERNEL_HANDLE       0x00000200L   **
  #define OBJ_FORCE_ACCESS_CHECK  0x00000400L
  #define OBJ_VALID_ATTRIBUTES    0x000007F2L
NTSTATUS
  ExCreateCallback(OUT PCALLBACK_OBJECT  *CallbackObject,//接受输出的数据
    IN POBJECT_ATTRIBUTES  ObjectAttributes,
    IN BOOLEAN  Create,
    IN BOOLEAN  AllowMultipleCallbacks
    )
{
    NTSTATUS status;

    HANDLE Handle;                                       //esp+0x10
                                                         //esp+0x14
    ULONG Length=Attrubutes->Length;                     //esp+0x18
    PVOID RootDirectory=Attributes->RootDirectory;       //esp+0x1c
    PUNICODE_STRING ObjectName=Attributes->ObjectName;   //esp+0x20
    ULONG Attributes=Attributes->Attributes;             //esp+0x24
    PVOID SecurityDescriptor=Attributes->SecurityDescriptor;//esp+0x28
    PVOID SecurityQualityOfService=Attributes->SecurityQualityOfService;//esp+0x2c
    //Attributes    esp+0x30

    Attributes|=OBJ_KERNEL_HANDLE;    //0X200
    if(ObjectName)  //提供对象名
    {
        status=ObOpenObjcetByName(Attributes,*ExCallbackObjectType,KERNEL_MODE/*0*/,0,0,NULL,Handle);//通过名字打开对象
    }
    else
    {
        status=STATUS_UNSUCCESSFUL; //0xc0000001
    }

    if(!NT_SUCCESS(status)||!Create) //没有找到目标对象也不要求创建一个
    {
        return status;
    }
    else if(!NT_SUCCESS(status))     //没找到并且要求创建一个新的callback对象   
    {
        status=ObCreateObject(,*ExCallbackObjectType,);
        if(NT_SUCCESS(status))
        {
            status=ObInsertObjectEx(,,);//将创建好的对象收集到一起去管理
            if(!NT_SUCCESS(status))
            {
                return status;
            }
        }
        else
        {
            return status;
        }
    }

    status=ObReferenceObjectByHandle(,ExCallbackObjectType,Attributes,Length,);
    if(NT_SUCCESS(status))
    {
        //保存相应的数据到第一个参数CallBackObject中
    }

    ZwClose(Handle);
    return status;
}

上面基本上还原了这个函数的框架,里面没有真正的工作代码,任务都是调用Ob****Object这些函数去完成的。可惜的是这些函数和相关数据结构没有被内核导出来,_callback_object也只是由定义。

pureman_mega
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ExtJS3.2源码每天一小时]ExtJS中创建回调createCallBackcreateDelegate的异同
u011383372的博客
08-08 179
createCallBackcreateDelegate是ExtJS中创建回调函数的两个方法 也许很多人并没有接触到这两个方法,因为在使用ExtJS的过程中,如果对ExtJS研究的不是特别深入,这两个方法基本上不会浮出水面,或许有的人从官方或者其他人写的例子中看到过这两个方法,就模仿着例子开始使用它们了,但是它们究竟是做什么的,它们两个的异同有哪些?今天我们就来说一说。 在看下面...
驱动中关于Callback 例程用法
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-10 2538
#include     // 准备接收该对象的回调消息  #define CONST_CALLBACK_NAME L"//Callback//TcpConnectionCallBack"    // 注册成功后,返回的句柄,卸载时候需要用  PVOID CallbackRegisterationHandle = NULL;    // 驱动入口例程  NTSTATUS DriverEntry(
ExtJs的createCallbackcreateDelegate方法
weixin_30297281的博客
05-19 98
1.createCallBack   返回一个带有window对象的函数 1 Function.prototype.createCallback = function(){ 2 var args = arguments; 3 var method = this; 4 return function() { 5 return method.apply(window...
驱动自定义回调例程
10-09 303
前言:熟悉驱动开发的人们都知道,在windows系统内,系统自动提供许多回调函数,比如,进程回调,模块回调,注册表回调,等等。但windows也提供了一些函数使得开发者也可以自定义回调。利用回调也可以实现驱动模块间的通讯。相关函数如下: //创建回调或者打开回调 NTSTATUS ExCreateCallback ( _Outptr_ PCALLBACK_OBJECT...
IoCreateDevice简单分析
仙人Immortal的博客
01-11 1082
IoCreateDevice简单分析介绍大体流程存储参数扩展大小计算设备属性组计算判断设备属性组判断设备类型一些其他计算创建对象申请内存初始化设备队列插入对象传入模板 介绍 简单分析一下 大体流程 1.判断设备属性组 2.设备属性为0调用IopCreateDefaultDeviceSecurityDescriptor 3.判断设备类型 4.ObCreateObject 5.判断设备类型 6.FILE_DEVICE_UNKNOWN类型调用IopCreateVpb和KeInitializeEvent 7.KeI
最新版WinDbg离线安装包
最新发布
11-07
最新版WinDbg离线安装包
Windbg中文调试手册
04-26
windbg工具的中文调试手册
WinDbg Download
09-06
WinDbg 主要功能. Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器,支持Source和Assembly两种模式的调试。 Windbg不仅可以调试应用程序,还可以进行Kernel Debug。结合Microsoft的Symbol Server,可以获取...
Windbg插件 pykd
11-07
python pykd
windbg中文文档.zip
07-11
windbg中文文档.zip
Ajax三级无刷新级联实例使用CallBackObject.js 简易Ajax框架
11-27
Ajax三级无刷新级联实例使用CallBackObject.js 简易Ajax框架,使用js实现,数据库为Sql2005的,自己学的一个小例子简单易懂。
基于Ajax的数据验证——(1)CallBackObject.js
技术资料收集站
09-16 319
// JScript   function CallBackObject()    {        this.XmlHttp = this.GetHttpObject();    }       CallBackObject.prototype.GetHttpObject = function()    {        var xmlhttp;        /*@cc_on
iPhone开发之第三方回调函数的使用方法
maozhuxigood
11-02 87
回调函数在程序世界里随处可见,iPhone中也不例外,但在iPhone中经常会遇到用常规方法无法回调,上一篇文章可以解决此问题,今天再上一种方法,专门的第三方回调函数。 1、在需要回调的类中定义回调: -(void)DoneAndMessageTo:(NSObject *)cbobject setCallbackFunctionName:(NSString *) selectornam...
3.3 同步技术 :事件对象
it技术学习
07-25 1714
3.3.1 事件对象 使用事件对象是一种常见的同步方法。驱动程序可以使用事件对象同步完成IRP,或者驱动线程间同步执行某些操作。 要使用事件对象,首先需要调用KeInitializeEvent, IoCreateNotificationEvent或者IoCreateSynchronizationEvent初始化事件。KeInitializeEvent函数原型: VOID KeInitiali
Windows系统通用回调
做一个快乐学习者
06-29 2096
本文将针对Windows操作系统所提供系统回调操作做逐一分析,以了解每个回调所能达成什么样的功能及效果。比如部分回调只是用于通知,我们只能通过此回调来了解某一类型事件的发生,只能做审计,拦截动作需要通过其它途径实现;也有回调可以实现即时拦截,通过回调即可阻止恶意程序的攻击企图。 Windows系统在内核及应用层均有提供回调机制,下面分为两部分作介绍: 1 内核回调 内核回调机制 OS版本 功能描述 备注 PsSetCreateProcessNotifyRoutine
windows file_exists 返回false_Windows内核逻辑漏洞:IO管理器访问模式不匹配
weixin_31560545的博客
01-25 345
概述本文深入介绍了Windows内核中一个有趣的逻辑漏洞,以及我与Microsoft的合作伙伴共同修复的过程。如果内核和驱动程序的开发人员在访问设备对象时未考虑IO管理器的操作方式,那么漏洞所产生的最大影响将会是本地权限提升。本篇文章重点说明了我发现漏洞的过程,并详细分析了技术背景。关于进一步调查的更多信息、修复方式和如何避免使用漏洞类编写新代码,可以参考MSRC的博客文章。 技术背景我...
生产环境诊断利器 WinDbg 帮你快速分析异常情况 Dump 文件
hezheqiang的专栏
12-14 1137
WinDbg 帮你快速分析异常情况 Dump
CWnd::Create(EX)、CWnd::OnCreateCreateWindow(EX)
闻道有先后,术业有专攻,如是而已。
05-09 2444
Create(EX)是CWnd的成员函数,CWnd::OnCreate是wm_create的消息响应函数,CreateWindow(EX)是API,他们三者的调用关系是CWnd::Create(EX)调用CreateWindow(EX)来完成窗口的创建,CreateWindow(EX)会发送wm_create消息,注意发送之前窗口已经创建好了但是没有显示出来,所以三者的关系是CWnd::C
java中callback回调机制解析
热门推荐
牛奋lch
08-29 1万+
我们首先来看下面一段代码,这段代码是我们使用Jedis封装服务的一个实现: package com.chhliu.myself.redis; import javax.annotation.Resource; import org.springframework.stereotype.Service; import redis.clients.jedis.ShardedJe
windbg查看调试信息
07-28
回答: Windbg是一款强大的调试工具,可以用于查看和分析调试信息。在Windbg中,可以使用调试器命令窗口来输入调试程序命令并查看命令输出。这是我们进行调试时主要打交道的窗口。\[2\]此外,如果需要深入研究问题,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值