驱动开发:内核枚举进程与线程ObCall回调

最新推荐文章于 2024-07-22 11:15:29 发布
最新推荐文章于 2024-07-22 11:15:29 发布
阅读量180 收藏
点赞数
分类专栏: python 文章标签: 驱动开发 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43479892/article/details/127460361
版权

🚀 优质资源分享 🚀

学习路线指引(点击解锁) 知识定位 人群定位
🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。
💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统

在笔者上一篇文章《驱动开发:内核枚举Registry注册表回调》中我们通过特征码定位实现了对注册表回调的枚举,本篇文章LyShark将教大家如何枚举系统中的ProcessObCall进程回调以及ThreadObCall线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体_OB_CALLBACK以及_OBJECT_TYPE所以放在一起来讲解最好不过。

我们来看一款闭源ARK工具是如何实现的:

首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。

typedef struct \_OBJECT\_TYPE\_INITIALIZER
{
	USHORT Length;                // Uint2B
	UCHAR ObjectTypeFlags;            // UChar
	ULONG ObjectTypeCode;             // Uint4B
	ULONG InvalidAttributes;          // Uint4B
	GENERIC_MAPPING GenericMapping;   // \_GENERIC\_MAPPING
	ULONG ValidAccessMask;       // Uint4B
	ULONG RetainAccess;         // Uint4B
	POOL_TYPE PoolType;        // \_POOL\_TYPE
	ULONG DefaultPagedPoolCharge;  // Uint4B
	ULONG DefaultNonPagedPoolCharge; // Uint4B
	PVOID DumpProcedure;       // Ptr64 void
	PVOID OpenProcedure;      // Ptr64 long
	PVOID CloseProcedure;     // Ptr64 void
	PVOID DeleteProcedure;        // Ptr64 void
	PVOID ParseProcedure;     // Ptr64 long
	PVOID SecurityProcedure;      // Ptr64 long
	PVOID QueryNameProcedure;     // Ptr64 long
	PVOID OkayToCloseProcedure;     // Ptr64 unsigned char
	ULONG
最低0.47元/天 解锁文章
qq_43479892
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++ Ob回调之反向降权破图标驱动源码+易语言调用
08-12
开发环境 Win10 X64/Visual Studio 2019/WDK 10.0 SDK 10.0.19041.0/易语言5.9 今天开源个非常简单的CallBack回调的使用 相信很多人都很熟悉这个回调,一般都是拿来做保护进程使用,但是大部分不知道这个回调还能这么利用,有提权操作当然也有降权, 这些在微软文档也是公开的,只是有时候很难注意到。
逆向分析ObRegisterCallbacks学习回调结构
weixin_44356908的博客
11-30 1514
首先调用ObRegisterCallbacks,查看所形成的结构是怎么样的。 OB_CALLBACK_REGISTRATION ObCallBack = { 0 }; OB_OPERATION_REGISTRATION ObOperation = { 0 }; ObCallBack.Version = ObGetFilterVersion(); ObCallBack.OperationRegistrationCount = 1; ObCallBack.RegistrationContext
PHP使用ob_start+callback回调的时候路径设置不当出现的问题
akulakk's memory stack
03-21 339
Envirenment: 同一台服务器 N个独立文件夹 IIS6 独立的应用池 独立域名 PHP5.2 + IIS的 FastCGI搭建 ------------------------- Symptom: 多个网站都使用到了ob_start()缓冲区技术,同时使用callback回调函数来替换缓冲区内的关键字然后再输出到浏览器 遇到奇怪的事情是网站A的缓冲区内容居然跑到网站B
CheekyBlinder:使用已签名的易受攻击的驱动程序枚举和删除内核回调
03-21
目前,Windows 1909/2004仅支持以下回调: 载入图像 线程创建 流程创建 注册表修改(目前只读) 未来的更新旨在包括: 注册表修改(写) 对象创建 Minifilter回调(文件创建/修改等) 可以从下载易受攻击的驱动程序
精选_枚举并删除系统上PsSetCreateThreadNotifyRoutine回调_源码打包
03-11
这个回调机制在驱动程序开发、系统监控以及调试等方面非常有用。本压缩包文件"callback-pssetcreatethreadnotifyroutine"包含的源码资源,显然与枚举和删除这类回调函数有关。 首先,我们要理解`...
驱动开发教程
05-07
0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ...|-枚举与删除创建进线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
PowerTool 国产免费的内核进程与系统管理器
10-09
18. 各种内核回调的查看和卸载 19. 多国语言版本的对应(中文和英文) 20. 暂停进程运行和恢复进程运行 21. 进程模块的内存的dump 22. 进程线程的查看和结束 23. 进程的窗口的查看和控制 24. 进程的定时器的...
竹林蹊径 深入浅出Windows驱动开发源码
05-12
4. **回调函数**:驱动程序实现的函数,用于响应KMDF的事件。 5. **WDF对象**:KMDF提供的一系列抽象对象,如设备、队列、请求等,便于管理驱动资源。 UMDF驱动开发则相对更接近于用户模式编程,其特点包括: 1. *...
[内核编程]枚举进程空间内所有模块
輚至消亡
07-13 1134
环境: Win7 X64 该方法枚举进程空间所有模块是基于进程环境块即PEB结构来实现的。 首先查看PEB结构, 该结构中有一个字段为_PEB_LDR_DATA。 进入_PEB_LDR_DATA字段查看, 最重要的是名为InLoadOrderModuleList, InMemoryModuleList以及InInitializationOrderModuleList的三条循环链表。 这三条循环链表中分别串着本EPROCESS对应的模块链表。其中 InLoadOrderModuleLi..
进程枚举的四种方式
qq_43812868的博客
09-14 1989
进程枚举是将系统中的所有进程显示出来,就像Windows中的任务管理器一样,可以看到系统中运行的所有进程进程枚举的四种方法: 通过系统快照进行枚举 通过psapi.dll中的函数进行枚举 通过ntdll.dll中的函数进行枚举 通过ntdll.dll中的函数进行枚举 第一种、通过系统快照进行枚举 1、CreateToolhelp32Snapshot() CreateToolhelp32Snapshot可以通过获取进程信息为指定的进程进程使用的堆[HE.
枚举Windows进程中模块的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1577
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
Windows驱动学习笔记之三 驱动枚举进程(WIN64)
iceamber2012的专栏
05-08 2196
WIN64 驱动枚举
windows 驱动实现进程枚举
全栈胖叔叔
05-08 958
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
ObRegisterCallbacks注册句柄操作回调进程保护
weixin_42969457的博客
01-10 1207
简单记录下ObRegisterCallbacks的基本用法,以及如何用该方法控制内核对象的权限,加深一下自己的理解,也希望帮助看到的人少走这方面的弯路。
ObjectType_Callback探索
若面朝大海边竹妮春暖花开的博客
02-28 1178
使用PCHunter工具查看object钩子时发现有一种Hook是ObjectType_Callback,Object类型为Process WRK中的全局类型对象变量中没有这一类型 查看ObTypeIndexTable表,对比有HOOK和无HOOk的情况下,看元素是否有增加,如果是自创类型,在这个表里,应该有增加一项 ObTypeIndexTable在XP系统中不存在,前两项是无效的 当有HOO...
【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第三篇 嵌入式Linux驱动开发篇-第三十九章 Linux MISC驱动
最新发布
BeiJingXunWei的博客
07-22 642
misc 的意思是混合的杂项的,所以 misc 设备驱动也叫做杂项设备驱动,当我们板子上的某个设备没有办法分类时,就可以用 misc 设备驱动。设备号包含主设备号和次设备号,设备号是计算机识别设备的一种方式,主设备号相同的就被视为同一类设备,主设备号在Linux系统里面是唯一的,次设备号不一定唯一。所有的 misc 设备驱动的主设备号都为 10,不同的设备使用不同的从设备号。通过39.1章节的学习,我们已经把杂项设备的基本概念搞懂了,在本实验中,使用 misc 设备驱动的方式来编写最简单的杂项设备的驱动
Windows进程终止:关键消息标识与返回值解析
4. **STATUS_USER_APC** (0x000000C0):表示在给定时间内,用户模式的异步过程调用(Asynchronous Procedure Call,APC)已经完成,可能由内核传递给用户的回调函数。 5. **STATUS_ALERTED** (0x00000101):线程被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值