Win64 驱动内核编程-13.回调监控模块加载

最新推荐文章于 2022-10-26 14:24:18 发布
最新推荐文章于 2022-10-26 14:24:18 发布
阅读量4.5k 收藏 5
点赞数 3
分类专栏: 驱动内核编程 文章标签: 驱动 回调监控模块加载 模块加载监控 监控驱动加载 监控模块加载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/61467912
版权

回调监控模块加载

    模块加载包括用户层模块(.DLL)和内核模块(.SYS)的加载。传统方法要监控这两者加在必须 HOOK 好几个函数,比如 NtCreateSection 和 NtLoadDriver

等,而且这些方法还不能监控未知的驱动加载方法。其实为了监控模块加载而HOOK API 是非常傻的,因为微软已经提供了一对标准的 API 实现此功能。它们

分别是 PsSetLoadImageNotifyRoutine 和 PsRemoveLoadImageNotifyRoutine可以设置/取消一个“映像加载通告例程”,当有驱动或者 DLL 被加载时,回调函

数就会被调用。有人可能认为这个标准方法的监控非常表层,其实恰恰相反,这个方法非常底层,大部分隐秘的加载驱动的方法都可以绕过 

最低0.47元/天 解锁文章
TK13
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
驱动加载监控x86
zhuhuibeishadiao
04-10 1111
Hook_ZwLoadDriver HOOK_ZwSetSystemInformation NTSTATUS NTAPI HOOK_NtSetSystemInformation ( IN ULONG SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength )
Win64 驱动内核编程-12.回调监控进线程创建和退出
天使也掉毛
03-12 4175
回调监控进线程创建和退出     两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分别对应的回调函数类型: VOID MyCreateProcessNotify ( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEA
驱动加载监控
kernweak的博客
05-31 1517
Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp) Hook_ZwLoadDriver( IN PUNICODE_STRING DriverServiceName )//服务名,在注册表 所以要在注册表改驱动ImagePath看驱动路径。 注意通过instrDrv加载驱动不一定看到的是原本加载驱动的文件,是通信方式加载驱动,在ZwLoadD...
内核调试工具ftrace
塔通天的博客
05-16 6638
文章目录1、ftrace基本介绍2、基本用法2.1、实例演示2.2、结构展示 1、ftrace基本介绍 ftrace 的作用是帮助开发人员了解 Linux 内核的运行时行为,以便进行故障调试或性能分析。 最早 ftrace 是一个 function tracer,仅能够记录内核的函数调用流程。如今 ftrace 已经成为一个 framework,采用 plugin 的方式支持开发人员添加更多种类的 trace 功能。 2、基本用法 首先编译内核,使内核支持ftrace。 通过以上配置,使得内核支持ftr
滴水三期逆向基础系列(五)-解析重定位表
henuyl的博客
04-28 395
很简单,直接贴代码吧 主要要注意RVA转FOA!!! VOID ReturnAllRelocation( IN LPVOID pFileBuffer ){ if(pFileBuffer == NULL){ return; } PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS64 inh = NULL; PIMAGE_OPTI...
WIN64驱动编程基础教程
12-06
|-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5....
驱动开发教程
05-07
|-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5....
寒江独钓-Windows内核安全编程(高清完整版).part3
01-04
 本书从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块编程技术,以及基于这些技术实现的密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的...
WIN2K-NT-XP-监视文件系统过滤驱动程序的驱动程序原代码
10-30
《深入解析WIN2K-NT-XP文件系统过滤驱动程序》 在Windows操作系统环境...通过对“WIN2K-NT-XP-监视文件系统过滤驱动程序的驱动程序原代码”的学习和实践,开发者可以深入理解内核编程,并提升在系统层解决问题的能力。
powertool 使用学习总结
bcbobo21cn的专栏
07-30 6360
简介  PowerTool是一款免费的系统分析,手动杀毒工具。这款内核级的手动杀毒辅助工具,能帮助你找出病毒 木马在你的电脑中动过的手脚,并去除病毒设下的机关。目前具备以下功能:系统修复、进程管理、内 核模块内核相关、钩子、应用层、文件、注册表、离线分析、启动项、系统服务、网络链接、漏洞修 复等。    PowerTool 的特色在于它能够获取较高权限,
x64加载驱动方法,x64驱动各类型hook教程
01-16
x64加载驱动方法过pg方法,x64驱动各类型hook教程和基础教程
内核回调
weixin_30794491的博客
10-15 315
相对于各种HOOK的安全性、稳定性问题,我更喜欢使用回调来做各种监视 虽然回调函数获取各种信息的时间偏后于先手HOOK获取各种信息的时间,而且不一定可以拦截到什么,但是这更安全。 PsSetCreateProcessNotifyRoutine 进程创建回调(它的回调运行的时候,进程应该已经被创建了,但是还没有跑起来,所以这里可以实现拦截进程创建的效果) PsSetCreat...
IDA 6.1调试驱动
kingswb的博客
04-23 2693
今天在测试的时候发现IDA 5.5可以启动windbg调试器,而IDA 6.0却无法启动windbg调试器。大体看了一下可能是由于搜索路径造成的,重新将windbg安装到program files下之后问题就结局了。 网上也有关于用IDA调试驱动的文章,这里只是再整理一下,用IDA载入驱动分析完成之后选择调试器为Windbg debugger,如图1所示: 图1 然后执行
绕过杀毒软件之一(实时监控篇)
老裴
06-21 6544
杀毒软件的实时监控分为两个部分  一:Notify部分  二:Attach到文件系统部分一:Notify对与杀毒软件致关重要(有些流氓软件也用的),主要用到的是   PsSetLoadImageNotifyRoutine和   PsSetCreateProcessNotifyRoutine这两个函数1 PsSetLoadImageNotifyRoutine(  IN PLOAD_IMAGE_NOT
驱动开发:内核运用LoadImage屏蔽驱动
最新发布
CSDN
10-26 1万+
强制返回的方法意外,屏蔽驱动加载还可以使用另一种方式实现禁用模块加载,例如当驱动加载首先回调函数内可以接收到,当接收到以后直接调用。我们看下驱动加载器,提示的信息是拒绝访问,因为这个驱动其实是加载了的,只是入口处被填充了返回而已。加载这段驱动程序,当有DLL文件被加载后,则会强制弹出,从而实现屏蔽模块加载的作用。无法实现参数控制,而如果我们想要控制特定驱动加载则需要自己做一些事情来实现,如下。节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入。返回指令,即可实现屏蔽加载特定驱动文件。
内核监控进程 线程 创建和销毁
09-02 352
#include "ntddk.h" #include "windef.h" #include "string.h" #define SYSNAME "System" ULONG ProcessNameOffset = 0; ULONG GetProcessNameOffset(); VOID DriverUnload(IN PDRIVER_OBJECT DriverObj...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值