WDK 8.1 Sample - ObCallback Callback Registration Driver 学习总结

最新推荐文章于 2023-07-12 22:51:27 发布
最新推荐文章于 2023-07-12 22:51:27 发布
阅读量1.5k 收藏
点赞数
分类专栏: 驱动开发 文章标签: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013482618/article/details/46594781
版权

概述

obcallback 这个 example 比较简单,粗糙,基本就是向我们展示了两种回调函数的用法。下面我们一方面说说这个 example 的总体思路;另一方面说说关于这两种回调函数文档中描述不太清楚,结合具体代码后才弄明白的地方。

总体思路

这个 example 实现了两个功能,如下:

* 保护特定名称的进程不被关闭
* 禁止特定名称的进程启动

不过这两个功能同时只能使用其中一个,而且就使用的这个功能来讲,也只能针对一个进程,毕竟是一个 example。

对于保护这个功能来讲,它是需要两种类型的回调函数配合完成的。PsSetCreateProcessNotifyRoutineEx 注册的回调函数负责在进程启动时保存要保护的进程的相关信息,这些信息用于 ObRegisterCallbacks 注册的回调函数,保护的实质性工作就在该函数注册的回调函数中进行。

对于禁止这个功能,只需要 PsSetCreateProcessNotifyRoutineEx 注册的回调函数。

文档中描述的不太清楚的地方

首先是 OB_PRE_OPERATION_INFORMATION structure 的 CallContext 成员,这个成员是用来和当前 ObjectPreCallback callback routine 配对的 ObjectPostCallback callback routine 之间传递信息的。当设置这个成员后,与当前 ObjectPreCallback callback routine 配对的 ObjectPostCallback callback routine 可以通过它的 OB_POST_OPERATION_INFORMATION structure 的参数的 CallContext 成员获取之前设置的值。

然后是 ObjectPreCallback callback routine 和 ObjectPostCallback callback routine 被调用的上下文。下面是文档中的说法

This routine is called at PASSIVE_LEVEL in an arbitrary thread context with normal kernel APCs disabled。

更确切一点应该是运行在执行该操作的进程的任意线程上下文中。

相关源码

WDK 8.1 Sample - ObCallback Callback Registration Driver

HDM1991
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wdk8.1 离线安装包
11-13
4. **测试工具**:WDK 8.1包含自动化测试框架(如CheckINF和DriverVerifier),这些工具能够帮助开发者验证驱动程序的功能性和稳定性。 5. **SDK文档**:WDK不仅提供开发工具,还包括完整的Windows API和驱动程序...
Win7x64通过ObCallback过滤文件、命名管道创建和打开
Sven的忘却日记
05-11 864
测试了win7x64 、win8x64,可以正常过滤命名管道。 也可以通过替换npfs驱动的dispatch入口函数来做。 #include <ntifs.h> #include <ntddk.h> struct ThreadData { ULONG ThreadId; int Priority; }; #define PRIORITY_BOOSTER_DEVICE 0X8000 #define IOCTL_PRIORITY_BOOSTER_SET_PRIORITY CT
ObCallback回调钩子检测
12-10 805
ObCallback回调钩子检测 2013-12-20 Nie.Meining Ring0 在 PatchGuard 的摧残下,通过 ObRegisterCallbacks 函数注册回调钩子已经成了 RK/ARK 中的主流技术之一。注册回调钩子的具体做法可以参考MSDN上的示例代码:http://code.msdn.microsoft.com/windowshardware/Ob...
windows驱动 - 进程回调
qq726232111的博客
12-29 1091
0x00 函数 ObRegisterCallbacks() //为线程、进程和桌面句柄操作注册回调例程列表 ObUnRegisterCallbacks() //卸载回调的注册 0x01 代码 //打印哪些进程在操作notepad进程句柄 #include <wdm.h> PCHAR PsGetProcessImageFileName(PEPROCESS Process); #define ProcessName "cmd" typedef struct _LDR_DATA_T..
Windows 驱动开发资源链接
bcbobo21cn的专栏
04-13 1003
0 https://msdn.microsoft.com/zh-cn/library/ff554845(v=VS.85).aspx 使用 WDK 示例 http://www.microsoft.com/whdc/default.mspx  微软官方驱动开发技术支 1 http://www.downcc.com/file/list_233_1.html 绿色资源网;
windows xp 驱动开发(七)WDK源码 UsbSamp例子的编译及使用
chenyujing1234的专栏
05-18 1万+
转载请标明是引用于 http://blog.csdn.net/chenyujing1234 参考文章: http://msdn.microsoft.com/zh-cn/library/windows/hardware/ff544747 欢迎大家提出意见,一起讨论!  需要源码的请独与我联系. 一、例子介绍  UsbSamp是你安装完WinDDK后自带的一个USB例子,在D:\WIND
wdk8.1 update 最新版
11-16
Windows Driver Kit(WDK)是开发和测试驱动程序的重要工具集,它包含了开发、调试以及部署驱动程序所需的所有组件。WDK 8.1 Update 是针对Windows 8.1及Windows Server 2012 R2操作系统的更新版本,旨在帮助开发者...
离线WDK8.1
03-24
由于文件过大不能直接上传文件,所以把文件放在百度网盘里。所以得到得是百度云下载地址, 然后在下载 ,没有百度云盘账户的 请慎重
WDK 8.1压缩包.exe文件
12-08
5. **Driver Verifier**:WDK 8.1 包含Driver Verifier,这是一个强大的工具,用于自动检测驱动程序中的潜在问题,通过严格测试来提高驱动程序的稳定性和可靠性。 **C++ 在驱动开发中的角色** C++ 是WDK 8.1 中...
wdk8.1 离线安装包下载 配合2013(update 5)用
07-21
4. **文档和样本**:WDK 8.1 包含详尽的API参考文档和各种示例代码,帮助开发者理解和学习如何使用不同接口和功能来创建驱动程序。 5. **测试工具**:为了确保驱动程序的质量,WDK 8.1 还提供了各种测试工具,如...
跨DLL回调实测,注册全局钩子实测。
06-17
跨DLL回调实测,注册全局钩子实测。
Window XP驱动开发(二) 环境搭建(VS2008+WDK+DDKWzard)及示例源码分析
热门推荐
chenyujing1234的专栏
05-14 1万+
郁闷,做了WCE嵌入式驱动这么久还没热身够,又被调到做window xp下的驱动开发。没办法。只能受令了。 现在就开始自己的学习之旅吧。 转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家提出意见,一起讨论! 示例源码:(VS2008)   window的驱动开发有两种方法 DDK与WDK,我选择WDK,因为 wind
原神反调试分析
u011442768的博客
10-21 1万+
打开CE,打开原神启动器。 至此,游戏未加载驱动。启动器可以被CE正常读写。 打开原神,CE中选择YuanShen.exe,发现原神并不能被读写。 尝试分析不能读写的原因。 CE调用的读取内存函数是NtReadVirtualMemory 猜测有三种可能 1.NtReadVirtualMemory被HOOK 2.ObCallBack 3.infinityhook 第一种情况因为X64系统PatchGuard的存在排除。当然VT也是有可能的,现在先不考虑。 第二种情况是最有可能的。 第三种情况感觉不大靠谱。
ObRegisterCallbacks注册句柄操作回调与进程保护
weixin_42969457的博客
01-10 1206
简单记录下ObRegisterCallbacks的基本用法,以及如何用该方法控制内核对象的权限,加深一下自己的理解,也希望帮助看到的人少走这方面的弯路。
X64下利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 5354
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程的保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
Windows内核编程【对象和注册表通知】
qq_45844442的博客
07-12 404
那么接下来就可以直接使用了,注册时给各个参数赋值,然后在回调函数中对获取的信息进行操作(以下代码是从链接中改写过来的)可以看到有两个参数,第一个参数是为了更好的描述回调中的相关信息,第二个参数是返回注册后的回调句柄。不好理解,这是因为回调的时候有处理操作前和处理操作后,还有删除注册表和设置键值等等这种类型,所以在。实验结果如下,在任务管理器中无法直接终止目标程序,但是程序自身可以将自己退出,原理就是在。那么接下来就要看申请的空间中存放的是什么数据,可以观察到在上方。所对应的不同的值,上图中结构类型就是。
逆向分析ObRegisterCallbacks学习回调结构
weixin_44356908的博客
11-30 1510
首先调用ObRegisterCallbacks,查看所形成的结构是怎么样的。 OB_CALLBACK_REGISTRATION ObCallBack = { 0 }; OB_OPERATION_REGISTRATION ObOperation = { 0 }; ObCallBack.Version = ObGetFilterVersion(); ObCallBack.OperationRegistrationCount = 1; ObCallBack.RegistrationContext
驱动保护中的ObjectType_Callback探索
whatday的专栏
10-31 9527
最近学习驱动保护,有点小小心德与大家分享下。 当前环境:VM中的win7 32 保护程序是某游戏的驱动保护。 具体现象是:在用PCHunter工具查看object钩子时发现如下的信息:   疑问点1:在HOOK列显示的是ObjectType_Callback,以前只听说过ObjectType HOOK没听说过这个呀,这个是什么呢? 疑问点2:Object类型列显示的是“Pro
Win64 驱动内核编程-33.枚举与删除对象回调
天使也掉毛
04-04 5380
枚举与删除对象回调 对象回调存储在对应对象结构体里,简单来说,就是存储在ObjectType.CallbackList这 个双向链表里。但对象结构体在每个系统上都不一定相同。比如WIN7X64的结构体如下: ntdll!_OBJECT_TYPE +0x000TypeList:_LIST_ENTRY +0x010Name:_UNICODE_STRING +0...
wdk8.0 sample
最新发布
02-05
wdk8.0 sample 是指 Windows Driver Kit (WDK) 8.0 中提供的示例代码。WDK 是由微软提供的一种用于开发 Windows 驱动程序的开发工具包。这个版本的 WDK 8.0 提供了一些示例代码,用于开发学习和参考。 wdk8.0 sample 中包含了各种类型的驱动程序示例,包括文件系统驱动、网络驱动、USB 驱动、显示驱动等。这些示例代码可以帮助开发者理解和学习驱动程序的开发过程。 通过阅读和运行 wdk8.0 sample 中的示例代码,开发者可以学习到如何初始化和配置驱动程序,如何与硬件设备进行通信,如何处理中断和事件,以及如何编写驱动程序的主要功能。示例代码通常包含注释和详细的解释,使开发者能够更好地理解代码的含义和作用。 同时,wdk8.0 sample 也可以作为开发者参考和借鉴的资源。开发者可以基于示例代码进行修改和优化,以符合自身项目的需求。在开发驱动程序时,借鉴示例代码能够提高开发效率和质量。 总之,wdk8.0 sampleWDK 8.0 中提供的一系列驱动程序示例代码,通过学习和参考这些示例代码,开发者可以更好地理解和掌握驱动程序的开发技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值