内核进程回调遍历【记录】

已于 2022-05-15 21:49:44 修改
阅读量417 收藏 2
点赞数
文章标签: windows c++ c语言 个人开发 系统安全
于 2022-05-15 21:13:41 首次发布
By Rose
本文链接:https://blog.csdn.net/qq_41963135/article/details/124787673
版权 
函数名:PsSetCreateProcessNotifyRoutine	//添加或删除进程创建退出例程!
原型:
NTSTATUS PsSetCreateProcessNotifyRoutine(
  [in] PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,
  [in] BOOLEAN                        Remove
);
参数
[in] NotifyRoutine
指定调用方提供的进程创建回调例程的入口点。请参阅PCREATE_PROCESS_NOTIFY_ROUTINE。
[in] Remove
指示是否应将 NotifyRoutine 指定的例程添加到系统的通知例程列表中,或从中删除该例程。如果为 FALSE,则将指定的例程添加到列表中。如果为 TRUE,则从列表中删除指定的例程。
返回值
PsSetCreateProcessNotify 例程可以返回下列值之一:
返回代码	描述
STATUS_SUCCESS
给定的 NotifyRoutine 现在已向系统注册。
STATUS_INVALID_PARAMETER
给定的 NotifyRoutine 已注册,因此此调用是冗余调用,或者系统已达到注册进程创建回调的限制。

 1. `打开WinDbg`
 2. WinDbg->U PsSetCreateProcessNotifyRoutine

在这里插入图片描述

 3. 取出红色框中的地址 fffff807`0ddfdc80
 4. WinDbg->U fffff807`0ddfdc80 L200

在这里插入图片描述

 5. 继续取出地址 - 这其实就是一个进程回调数组首地址
 6. WinDbg->DQ fffff807`0dbbb060

得到所有进程回调对象地址
数一数是十个回调,嗯我看下PChunter或其他工具,都一致。

7. 取第一个地址试试ffffe706`2105042f->掩码->&0xFFFFFFFFFFFFFFF8 = 0xFFFFE70621050428
8. 得到的还不是真正的对象地址,需要WinDbg->DQ 0xFFFFE70621050428

在这里插入图片描述
这时候就得到了所谓的回调入口地址,对比下方PChunter的内容确实是一致,是第一个回调对象!
在这里插入图片描述
如果创建的是EX好像有HANDLE的什么,就不细研究了。

Mr.Rose
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
精选_枚举并删除系统上PsSetCreateThreadNotifyRoutine回调_源码打包
03-11
通过这个回调,我们可以监视系统的线程创建活动,例如记录信息、实施安全策略或者进行性能分析。 要使用`PsSetCreateThreadNotifyRoutine`,你需要编写一个回调函数,该函数需要遵循特定的原型。一旦回调函数被注册...
驱动开发内核注册并监控对象回调
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
内核回调
weixin_30794491的博客
10-15 315
相对于各种HOOK的安全性、稳定性问题,我更喜欢使用回调来做各种监视 虽然回调函数获取各种信息的时间偏后于先手HOOK获取各种信息的时间,而且不一定可以拦截到什么,但是这更安全。 PsSetCreateProcessNotifyRoutine 进程创建回调(它的回调运行的时候,进程应该已经被创建了,但是还没有跑起来,所以这里可以实现拦截进程创建的效果) PsSetCreat...
驱动开发内核监控进程与线程回调
CSDN
10-23 1万+
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防病毒程序,进程监控在防病毒程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
驱动开发内核监视LoadImage映像回调
最新发布
CSDN
10-25 8984
映像监视,当有模块被系统加载时则可以第一时间获取到加载模块信息,需要注意的是该回调函数内无法进行拦截,如需要拦截则需写入返回指令这部分内容将在下一章进行讲解,本章将主要实现对模块的监视功能。监视模块加载与卸载需要费别使用两个函数,这两个函数的参数传递都是自己的回调地址。那么如何实现监视映像加载呢,来看如下完整代码片段,首先。运行这个驱动程序,则会输出被加载的驱动详细参数。将带大家继续探索一个新的回调注册函数,注册回调,当有模块被加载则自动执行。得出是什么类型的模块,然后再通过。回调,并通过该回调实现了。
遍历创建进程、创建线程、加载模块的回调函数
weixin_34360651的博客
10-28 197
今天我们首先来看一下最简单的,关于遍历PspCreateProcessNotifyRoutine数组,PspLoadImageNotifyRoutine也同理 这两个数组保存了两组函数地址,它们将在有进程被创建或销毁,有镜像被装载或映射入内存的时候被依次调用, 当然了这两个符号都是未导出的,而且它们的数量在xp和win7下也有所不同,xp<2k3>下最大数...
易语言驱动读取CreateProces类型的系统回调源码-易语言
06-13
通过驱动程序读取CreateProcess类型的系统回调,我们可以实现对进程创建行为的监控,例如,记录哪些程序被启动,或者阻止特定程序的运行,这在安全软件和系统监控工具中非常常见。 首先,我们需要理解驱动程序的...
window内核监控工具源代码
09-26
PsSetCreateProcessNotifyRoutine CmRegisterCallback这几个,至于那个什么shutdown回调不知道是啥玩意,就没搞了,有知道的顺便告诉我下撒,谢谢 九:文件系统fat和ntfs的分发函数检测 直接反汇编fat和ntfs的...
Windows内核安全驱动开发(随书光盘)
08-02
11.9.2 初始化回调、卸载回调和绑定回调 244 11.9.3 绑定与回调 245 11.9.4 插入请求回调 246 11.9.5 如何利用sfilter.lib 249 第12章 文件系统透明加密 252 12.1 文件透明加密的应用 252 12.1.1 防止企业信息...
Android内核驱动——内存管理.pdf
10-02
Cache Shrinker 是标准 Linux 内核回收内存页面的一种机制,它由内核线程 kswapd 监控,当空闲内存页面不足时,kswapd 会调用注册的 Shrinker 回调函数,来回收内存页面。Low Memory Killer 在模块初始化时注册 ...
强大的进程管理软件powertool V3.4.2
02-28
版本:V3.4.2 目前版本主要功能: 1. 所有进程的枚举(包括内核中隐藏的进程) 2. 所有文件的枚举(包括内核中隐藏的文件) 3. 进程中所有模块的枚举(包括内核中隐藏的模块) 4. 进程的强制结束 5. 进程中模块的强制卸载 6. 模块被哪些进程加载的检索 7. 查看文件/文件夹被占用的情况 8. 可以Unlock占用文件的进程 9. 文件/文件夹的粉碎(可强删Unlocker1.8.9/金山/超级巡警文件粉碎机无法删除的顽固文件) 10. 阻止文件粉碎后用还原软件还原(采用美国国防部DOD 5220.22-m标准阻止文件还原) 11. 用磁盘解析技术检索硬盘数据 12. 内核模块和驱动的查看和管理 13. 启动项的查看和管理 14. 系统服务的查看和管理 15. 集成文件粉碎功能到系统右键菜单 16. 消息钩子的查看和卸载 17. SSDT/Shadow SSDT钩子的查看和卸载 18. 各种内核回调的查看和卸载 19. 多国语言版本的对应(中文和英文) 20. 暂停进程运行和恢复进程运行 21. 进程模块的内存的dump 22. 进程的线程的查看和结束 23. 进程的窗口的查看和控制 24. 进程的定时器的查看和摘除(该功能还没对应Windows2003) 25. 内核定时器的查看和摘除 26. 上传文件在线扫描病毒 27. 查看和摘除用户层的钩子 28. 查看和结束内核线程 29. 关机回调的清除 30. 查看和摘除mini文件驱动 31. 系统恢复功能(检测项目包括注册表关键部位,已安装的杀毒软件,AutoRun文件,Windows漏洞检测,共享文件夹) 32. 流氓快捷方式的检测和删除 33. 镜像劫持的检测和删除 34. 文件关联的检测和删除 35. IE相关的检测和删除 36. FSD Hook的检测和删除 37. Object Hook的检测和删除 38. 部分CPU/硬盘/显卡/主板的温度检测 39. 部分硬件信息的确认 40. 修复漏洞功能,可以下载和安装Windows补丁 41. IDT钩子的检测和恢复 42. 禁止进城创建,新建文件,注册表修改等配置 43. 注册表功能,几乎可以无视一切隐藏注册表的钩子 44. SPI的检测 45. 通过磁盘解析进行文件浏览 46. 文件强制拷贝功能,可拷贝网络视频的缓存文件 47. 通过磁盘解析取得和拷贝ADS流文件 48. 添加和查看文件重启删除信息 49. Disk/Atapi驱动钩子的检测和恢复 50. 进程权限的枚举和摘除 51. 检测键盘侦听软件 52. 检测被监视的文件 53. IO定时器的检测和停止 54. 工作列线程的检测和暂停 55. FAT32格式的磁盘解析 56. 新增MBR的检测和修复(可对抗鬼影等Bootkit和MBR Rootkit) 57. 新增检测被替换的或被感染的内核文件(内核文件劫持) 58. 支持多硬盘的MBR检测和恢复 59. 新增可疑设备的检测和清除
驱动开发内核中的文件回调
CSDN
11-01 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。
驱动开发内核枚举进程与线程ObCall回调
热门推荐
CSDN
10-22 1万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
Windows消息机制学习笔记(四)—— 内核回调机制
qq_41988448的博客
06-24 1026
消息机制学习笔记(四)—— 内核回调机制要点回顾内核调用实验1:理解内核调用第一步:编译并运行以下代码第二步:修改窗口过程函数,重新运行结论KeUserModeCallback分析KeUserModeCallback 要点回顾 1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列中的消息 2)DispatchMessage()用于处理其它队列中的消息。 内核调用 描述:窗口过程函数除了会在消息循环中被调用,一些0环的代码也可以直接发起调用。 例如:窗口初始化时、窗口
19043 ObRegisterCallbacks 回调遍历和摘除
qq_41490873的博客
10-28 535
typedef struct _OB_PRE_CREATE_HANDLE_INFORMATION { _Inout_ ACCESS_MASK DesiredAccess; _In_ ACCESS_MASK OriginalDesiredAccess; } OB_PRE_CREATE_HANDLE_INFORMATION, *POB_PRE_CREATE_HANDLE_INFORMATION; typedef struct _OB_PRE_DUPLICA
反模块、线程、进程回调(PsSetXXXXX)
u014738665的博客
11-09 425
参考资料: 1、模块、进程、线程回调函数的逆向 2、一字节anti创建进程线程等回调 1、清空全局变量PspNotifyEnableMask PsSetCreateThreadNotifyRoutine、PsSetCreateProcessNotifyRoutine、PsSetLoadImageNotifyRoutine 2、注册无用回调函数占坑,因为注册回调有最大限制 例如PsSetLoadImageNotifyRoutine最大拥有8个回调 ...
epoll详解_epoll详解——从功能到内核
weixin_39681171的博客
11-29 205
首先我们了解一下什么是I/O复用。I/O就是指网络中的I/O(即输入输出),多路是指多个TCP连接,复用是指一个或少量线程被重复使用。连起来理解就是,用少量的线程来处理网络上大量的TCP连接中的I/O。常见的I/O复用有以下三种:selectpollepoll为什么使用epoll?这个问题也可以理解为epoll相比于select和poll有什么缺点。首先我们来分析一下select。select函数...
ctf中linux 内核态的漏洞挖掘与利用系列
Moyun_vackbot的博客
03-29 891
本篇文章主要针对内核栈溢出以及堆越界访问漏洞进行分析以及利用。
Linux内核中的软件中断(softIRQ)解析
这个函数会遍历所有可能的软中断,根据`__softirq_pending`标志来决定是否执行相应的回调函数。 4. 软中断与tasklet 尽管软中断可以直接处理某些任务,但内核开发者建议避免直接增加新的软中断类型,而是优先考虑...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.Rose

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值