X64下利用ObRegisterCallbacks注册对象回调实现进程保护

最新推荐文章于 2024-05-21 15:13:44 发布
最新推荐文章于 2024-05-21 15:13:44 发布
阅读量5.3k 收藏 17
点赞数 6
文章标签: 驱动 安全 object钩子 对象回调
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41208289/article/details/86776655
版权

在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程的保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分X64下的安全软件保护机制都是基于该方法。
注:由于MmVerifyCallbackFunction,没有数字签名的驱动在注册回调函数时会一直返回失败,因此在加载驱动时要先过MmVerifyCallbackFunction


下面是关于实现保护记事本进程不被结束的代码:
 


//obCallback.h
#pragma once

#ifdef __cplusplus
extern "C"
{
#endif
#include <ntifs.h>

#ifdef __cplusplus
}
#endif 


#define arraysize(p) (sizeof(p)/sizeof((p)[0]))
#define PROCESS_TERMINATE         0x0001  
#define PROCESS_VM_OPERATION      0x0008  
#define PROCESS_VM_READ           0x0010  
#define PROCESS_VM_WRITE          0x0020 

typedef struct _DEVICE_EXTENSION {
	PDEVICE_OBJECT pDevice;
	UNICODE_STRING ustrDeviceName;	//设备名称
	UNICODE_STRING ustrSymLinkName;	//符号链接名
} DEVICE_EXTENSION, *PDEVICE_EXTENSION;  //设备扩展信息结构体


typedef struct _LDR_DATA_TABLE_ENTRY64
{
	LIST_ENTRY64    InLoadOrderLinks;
	LIST_ENTRY64    InMemoryOrderLinks;
	LIST_ENTRY64    InInitializationOrderLinks;
	PVOID            DllBase;
	PVOID            EntryPoint;
	ULONG            SizeOfImage;
	UNICODE_STRING    FullDllName;
	UNICODE_STRING     BaseDllName;
	ULONG            Flags;
	USHORT            LoadCount;
	USHORT            TlsIndex;
	PVOID            SectionPointer;
	ULONG            CheckSum;
	PVOID            LoadedImports;
	PVOID            EntryPointActivationContext;
	PVOID            PatchInformation;
	LIST_ENTRY64    ForwarderLinks;
	LIST_ENTRY64    ServiceTagLinks;
	LIST_ENTRY64    StaticLinks;
	PVOID            ContextInformation;
	ULONG64            OriginalBase;
	LARGE_INTEGER    LoadTime;
} LDR_DATA_TABLE_ENTRY64, *PLDR_DATA_TABLE_ENTRY64;


NTSTATUS CreateDevice(IN PDRIVER_OBJECT pDrvObj); //创建设备例程
void UnloadDriver(IN PDRIVER_OBJECT pDrvObj); //驱动卸载函数

NTSTATUS ProtectProcess(); //进程保护
OB_PREOP_CALLBACK_STATUS MyCallback(PVOID RegistrationContext, POB_PRE_OPERATION_INFORMATION pOperationInformation); //回调函数
char* GetProcessNameByProcessID(HANDLE pid); //取进程名


//obCallback.cpp

#include "obCallback.h"

#ifdef __cplusplus
extern "C"
{
#endif
	UCHAR *PsGetProcessImageFileName(PEPROCESS EProcess);
#ifdef __cplusplus
}
#endif

BOOLEAN pre = FALSE;
extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverOb, IN PUNICODE_STRING pRegistryPath)
{
	KdPrint(("开始加载驱动"));
	NTSTATUS status = 0;
	pDriverOb->DriverUnload = UnloadDriver;

	status = CreateDevice(pDriverOb);
	KdPrint(("驱动加载完成1"));

	PLDR_DATA_TABLE_ENTRY64 ldrDataTable;
	ldrDataTable = (PLDR_DATA_TABLE_ENTRY64)pDriverOb->DriverSection;
	ldrDataTable->Flags |= 0x20;  //过MmVerifyCallbackFunction

	status = ProtectProcess(); //实现对象回调
	if (NT_SUCCESS(status))
	{
		KdPrint(("注册回调函数成功"));
		pre = TRUE;
	}
	else
		KdPrint(("注册回调函数失败"));
	return status;
}



PVOID obHandle;  //存储回调句柄

NTSTATUS ProtectProcess()
{

	OB_CALLBACK_REGISTRATION obReg;
	OB_OPERATION_REGISTRATION opReg;

	memset(&obReg, 0, sizeof(obReg));
	obReg.Version = ObGetFilterVersion();
	obReg.OperationRegistrationCount = 1;
	obReg.RegistrationContext = NULL;
	RtlInitUnicodeString(&obReg.Altitude, L"321000");

	memset(&opReg, 0, sizeof(opReg)); //初始化结构体变量

	opReg.ObjectType = PsProcessType;
	opReg.Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;

	opReg.PreOperation = (POB_PRE_OPERATION_CALLBACK)(&MyCallback);  //注册回调函数指针

	obReg.OperationRegistration = &opReg; //注意这一条语句
	return ObRegisterCallbacks(&obReg, &obHandle); //注册回调函数
}

OB_PREOP_CALLBACK_STATUS MyCallback(PVOID RegistrationContext, POB_PRE_OPERATION_INFORMATION pOperationInformation)
{
	HANDLE pid = PsGetProcessId((PEPROCESS)pOperationInformation->Object);
	char szProcName[16] = { 0 };
	UNREFERENCED_PARAMETER(RegistrationContext);
	strcpy(szProcName, GetProcessNameByProcessID(pid));
	
	if (!_stricmp(szProcName, "notepad.exe"))
	{
		if (pOperationInformation->Operation == OB_OPERATION_HANDLE_CREATE)
		{
			if ((pOperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_TERMINATE) == PROCESS_TERMINATE)
			{
				pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_TERMINATE;
			}
			if ((pOperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_VM_OPERATION) == PROCESS_VM_OPERATION)
			{
				pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_VM_OPERATION;
			}
			if ((pOperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_VM_READ) == PROCESS_VM_READ)
			{
				pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_VM_READ;
			}
			if ((pOperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_VM_WRITE) == PROCESS_VM_WRITE)
			{
				pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_VM_WRITE;
			}
		}
	}
	return OB_PREOP_SUCCESS;
}

char* GetProcessNameByProcessID(HANDLE pid)
{
	NTSTATUS status;
	PEPROCESS EProcess = NULL;
	status = PsLookupProcessByProcessId(pid, &EProcess);

	if (!NT_SUCCESS(status))
	{
		return FALSE;
	}
	ObDereferenceObject(EProcess);
	return (char*)PsGetProcessImageFileName(EProcess);
}



NTSTATUS CreateDevice(
	IN PDRIVER_OBJECT	pDriverObject)  //初始化设备对象 返回初始化状态
{
	NTSTATUS status;
	PDEVICE_OBJECT pDevObj;
	PDEVICE_EXTENSION pDevExt;

	//创建设备名称
	UNICODE_STRING devName;
	RtlInitUnicodeString(&devName, L"\\Device\\ObCALL");

	//创建设备
	status = IoCreateDevice(pDriverObject,
		sizeof(DEVICE_EXTENSION),
		&(UNICODE_STRING)devName,
		FILE_DEVICE_UNKNOWN,
		0, TRUE,
		&pDevObj);
	if (!NT_SUCCESS(status))
		return status;

	pDevObj->Flags |= DO_BUFFERED_IO;
	pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
	pDevExt->pDevice = pDevObj;
	pDevExt->ustrDeviceName = devName;
	//创建符号链接
	UNICODE_STRING symLinkName;
	RtlInitUnicodeString(&symLinkName, L"\\??\\Object");
	pDevExt->ustrSymLinkName = symLinkName;
	status = IoCreateSymbolicLink(&symLinkName, &devName);
	if (!NT_SUCCESS(status))
	{
		IoDeleteDevice(pDevObj);
		return status;
	}
	return STATUS_SUCCESS;
}


void UnloadDriver(IN PDRIVER_OBJECT pDriverObject) //驱动程序的卸载操作
{
	PDEVICE_OBJECT	pNextObj;
	KdPrint(("Enter DriverUnload\n"));
	if (pre)  //如果注册回调函数成功则删除回调
		ObUnRegisterCallbacks(obHandle);
	KdPrint(("已删除回调"));
	pNextObj = pDriverObject->DeviceObject;
	while (pNextObj != NULL)
	{
		PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)
			pNextObj->DeviceExtension;

		//删除符号链接
		UNICODE_STRING pLinkName = pDevExt->ustrSymLinkName;
		IoDeleteSymbolicLink(&pLinkName);
		pNextObj = pNextObj->NextDevice;
		IoDeleteDevice(pDevExt->pDevice);
	}
	KdPrint(("驱动被卸载!"));
}

 

CalvinXu17
关注
  • 6
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
memcpy 结构体_逆向ObRegisterCallbacks 分析回调表结构
weixin_39959192的博客
11-19 200
题外话1. 因为本人水平有限,某些地方写的可能是错的,也请各位大佬指正,不胜感激。2. 为什么要发这个帖子?① 因为后期如果我们想对进程线程搞一些事情的话,需要了解 ObRegisterCallbacks表的结构。② 当我去查ObRegisterCallbacks表结构资料的时候,全网搜了半小时,也没找到啥能用的,当然这可能是我搜索的姿势不对。正文用到的文件:win7 sp1 x64 内...
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
ObRegisterCallbacks”是Windows内核的一个函数,用于注册对象观察者回调,这样当对象创建、删除或更改时,可以接收到通知。这对于监控系统中对象的变化,如进程、线程、内存分配等非常有用,也可以作为保护进程的...
windows内核-保护进程(五)
rosykee的专栏
12-04 646
通过 ObRegisterCallbacks 实现进程读写保护
Windows的回调机制
最新发布
qq_42814021的博客
05-21 681
Windows系统内核提供了一系列的事件通知(Notify)机制以及回调(Callback)机制。
对象回调实现进程保护
Cosmopolitan的博客
10-08 1050
#include <ntddk.h> #define PROCESS_TERMINATE 1 #define PROCESS_VM_OPERATION 0x0008 #define PROCESS_VM_READ 0x0010 #define PROCESS_VM_WRITE 0x0020 typedef struct _L...
Win7 x64进程保护与文件保护(ObRegisterCallbacks)
weixin_30732825的博客
05-07 501
进程保护部分参考http://bbs.pediy.com/showthread.php?t=168023 进程保护,在任务管理器不能结束进程 #ifndef CXX_PROTECTPROCESSX64_H #define CXX_PROTECTPROCESSX64_H #include <ntifs.h> #define PROCESS_TERMINATE ...
ObRegisterCallbacks
weixin_30627381的博客
06-25 210
ObRegisterCallbacks 转载于:https://www.cnblogs.com/kb505/p/7077593.html
教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
whatday的专栏
10-31 1万+
我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题: (1)怎么样在64位的Windows7操作系统下实现进程保护?  (2)我在网络上搜索了很多天,我根本就找不到64位进程保护的文章啊! (3)公司的项目很急,领导让我实现64位系统下的进程保护,这要怎么做啊? (4)
精选_基于ObRegisterCallbacks实现的线程和进程监控及其保护_源码打包
03-10
`ObRegisterCallbacks`是Windows内核的一个高级API,用于注册回调函数,以便在创建、删除或修改内核对象时得到通知。这个功能主要用于开发驱动程序,特别是那些需要对系统进行深层监控或安全防护的驱动。本文将深入...
易语言驱动进程保护
07-15
易语言驱动进程保护源码,驱动进程保护,取变量地址_整数型_,驱动程序通信_,CreateFileA,DeviceIoControl,CloseHandle,FindWindowA,GetForegroundWindow,GetCurrentProcessId
易语言_驱动进程保护模块
05-04
这是一个类模块,自行控制.利用驱动保护进程不被关闭,隐藏进程.
简单进程保护实例两线程相互看护实现
08-15
本文将探讨一个简单的进程保护实例,该实例通过两线程之间的相互看护来实现这一目标。这种技术通常用于确保关键服务的持续运行,即使某个线程出现故障,也能及时恢复。 首先,我们要理解“进程”和“线程”的基本...
ObRegisterCallbacks注册句柄操作回调进程保护
weixin_42969457的博客
01-10 1190
简单记录下ObRegisterCallbacks的基本用法,以及如何用该方法控制内核对象的权限,加深一下自己的理解,也希望帮助看到的人少走这方面的弯路。
基于ObRegisterCallbacks实现的线程和进程监控及其保护
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
02-23 3112
实现监控系统线程和进程,并实现对指定线程和进程保护,在 32 位系统上可以使用 HOOK 技术,HOOK 相关的函数来实现。但是,到了 64 位平台上,就不能继续按常规的 HOOK 方法去实现了。 好在 Windows 给我们提供了 ObRegisterCallbacks 内核函数来注册系统回调,可以用来注册系统线程回调,监控系统的线程创建、退出等情况,而且还能进行控制;也可以用来注册系统进程回调,可以监控系统的进程创建、退出等情况,而且也能进行控制。这使得我们实现保护指定线程、进程不被结束,提供了可
ObRegisterCallbacks的运用
sanqiuai的博客
08-05 4810
ObRegisterCallbacks()有什么用? 继从Windows Vista以后的64位系统都PG(PatchGuard)的存在,所以应用程序不能随意的通过 HOOK SSDT 等方式来修改内核,因为会触发 PatchGuard 保护造成蓝屏。所以现在的64系统的程序通过内核函数ObRegisterCallbacks来实现对自身的保护 。 本文不会介绍原理之类的,其内部实现可以使用IDA工具查看其反汇编代码,另外,该函数不能运行在XP环境下,且需要在驱动中调用,应用层的程序是调用不了的,并且,如今的
X64驱动保护-隐藏进程躲避游戏检测
热门推荐
hzw320的博客
08-24 2万+
前面我学习过 32位系统里进行驱动隐藏进程,http://bbs.dult.cn/thread-10701-1-1.html 来防止破解或被游戏检测到辅助 本节例子教程讲述的是在64位 win7系统进行驱动隐藏进程, 毕竟现在网络上能在64位win7系统里进行驱动隐藏进程的非常少 所以独立团有必要在驱动模块里加入强大的64位系统驱动隐藏进程功能 隐藏后的效果如下: 可以看见64位...
逆向分析ObRegisterCallbacks学习回调结构
weixin_44356908的博客
11-30 1223
首先调用ObRegisterCallbacks,查看所形成的结构是怎么样的。 OB_CALLBACK_REGISTRATION ObCallBack = { 0 }; OB_OPERATION_REGISTRATION ObOperation = { 0 }; ObCallBack.Version = ObGetFilterVersion(); ObCallBack.OperationRegistrationCount = 1; ObCallBack.RegistrationContext
Windows 反调试技术——OpenProcess 权限过滤 - ObRegisterCallback
07-04 1682
转载: https://blog.xpnsec.com/anti-debug-openprocess/ 看雪翻译:https://bbs.pediy.com/thread-223857.htm 本周我有了休息时间,来回顾一下反调试技术。目前,Bug Bounty平台上有大量程序依赖于客户端应用,而且许多安全产品和游戏反作弊引擎都采用了这些反调试技术来阻止你调试核心模块。我想有必要...
obregistercallbacks 保护进程
11-26
obregistercallbacks是Windows操作系统中的一个函数,它用于注册回调函数来保护进程。当进程注册回调函数保护时,这些回调函数将会在特定的进程事件发生时被触发,从而允许系统对进程进行有效的保护和监控。 这些回调函数可以用于监视进程的创建、销毁、访问内存区域、访问注册表、执行文件操作等行为。通过obregistercallbacks,我们可以注册自定义的回调函数来响应这些事件,从而对进程进行更加精细的保护。 举例来说,我们可以注册一个回调函数来监视进程的创建事件,在进程创建时执行一些自定义的安全检查,比如检查进程的数字签名、权限等信息,从而防止恶意进程的创建。另外,我们还可以注册一个回调函数来监视进程访问内存的行为,及时发现并阻止恶意进程对系统内存的非法访问。 在实际应用中,obregistercallbacks可以帮助系统管理员和安全专家对关键进程进行更加细致的保护,加强系统的安全性和稳定性。当系统发生异常或者受到恶意攻击时,注册回调函数可以及时响应并采取必要的措施,从而保护系统的运行和数据的安全。 总之,obregistercallbacks对于保护进程具有重要的作用,可以通过注册自定义的回调函数来实现进程的更加精细的保护和监控,帮助系统提升安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值