Win64 驱动内核编程-13.回调监控模块加载

最新推荐文章于 2022-10-26 14:24:18 发布
最新推荐文章于 2022-10-26 14:24:18 发布
阅读量4.5k 收藏 5
点赞数 3
分类专栏: 驱动内核编程 文章标签: 驱动 回调监控模块加载 模块加载监控 监控驱动加载 监控模块加载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/61467912
版权
本文介绍了如何使用Windows驱动编程中的PsSetLoadImageNotifyRoutine和PsRemoveLoadImageNotifyRoutine API来监控模块(包括驱动和DLL)的加载。通过设置映像加载通告例程,可以在模块加载时触发回调函数。通过判断回调函数参数来区分驱动加载与DLL加载,若要阻止驱动加载,可通过获取驱动的DriverEntry地址并写入"拒绝访问"的机器码实现。
摘要由CSDN通过智能技术生成

回调监控模块加载

    模块加载包括用户层模块(.DLL)和内核模块(.SYS)的加载。传统方法要监控这两者加在必须 HOOK 好几个函数,比如 NtCreateSection 和 NtLoadDriver

等,而且这些方法还不能监控未知的驱动加载方法。其实为了监控模块加载而HOOK API 是非常傻的,因为微软已经提供了一对标准的 API 实现此功能。它们

分别是 PsSetLoadImageNotifyRoutine 和 PsRemoveLoadImageNotifyRoutine可以设置/取消一个“映像加载通告例程”,当有驱动或者 DLL 被加载时,回调函

数就会被调用。有人可能认为这个标准方法的监控非常表层,其实恰恰相反,这个方法非常底层,大部分隐秘的加载驱动的方法都可以绕过 

最低0.47元/天 解锁文章
TK13
关注
专栏目录
驱动加载监控x86
zhuhuibeishadiao
04-10 1119
Hook_ZwLoadDriver HOOK_ZwSetSystemInformation NTSTATUS NTAPI HOOK_NtSetSystemInformation ( IN ULONG SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength )
Win64 驱动内核编程-12.回调监控进线程创建和退出
天使也掉毛
03-12 4189
回调监控进线程创建和退出     两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分别对应的回调函数类型: VOID MyCreateProcessNotify ( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEA
驱动加载监控
kernweak的博客
05-31 1557
Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp) Hook_ZwLoadDriver( IN PUNICODE_STRING DriverServiceName )//服务名,在注册表 所以要在注册表改驱动ImagePath看驱动路径。 注意通过instrDrv加载驱动不一定看到的是原本加载驱动的文件,是通信方式加载驱动,在ZwLoadD...
内核调试工具 — kdump & crash
StevenYang2008的博客
07-08 963
1. kdump简介 kdump是系统崩溃的时候,用来转储运行内存的一个工具。 系统一旦崩溃,内核就没法正常工作了,这个时候将由kdump提供一个用于捕获当前运行信息的内核,该内核会将此时内存中的所有运行状态和数据信息收集到一个dump core文件中以便之后分析崩溃原因。一旦内存信息收集完成,可以让系统将自动重启。 kdump是RHEL5之后才支持的,2006被主线接收为内核的一部分。它的原理简单来说是在内存中保留一块区域,这块区域用来存放capture kernel,当production kernel
内核调试工具ftrace
塔通天的博客
05-16 6670
文章目录1、ftrace基本介绍2、基本用法2.1、实例演示2.2、结构展示 1、ftrace基本介绍 ftrace 的作用是帮助开发人员了解 Linux 内核的运行时行为,以便进行故障调试或性能分析。 最早 ftrace 是一个 function tracer,仅能够记录内核的函数调用流程。如今 ftrace 已经成为一个 framework,采用 plugin 的方式支持开发人员添加更多种类的 trace 功能。 2、基本用法 首先编译内核,使内核支持ftrace。 通过以上配置,使得内核支持ftr
WIN64驱动编程基础教程
12-06
|-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5....
驱动开发教程
05-07
|-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5....
寒江独钓-Windows内核安全编程(高清完整版).part3
01-04
 本书从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块编程技术,以及基于这些技术实现的密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的...
滴水三期逆向基础系列(五)-解析重定位表
henuyl的博客
04-28 408
很简单,直接贴代码吧 主要要注意RVA转FOA!!! VOID ReturnAllRelocation( IN LPVOID pFileBuffer ){ if(pFileBuffer == NULL){ return; } PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS64 inh = NULL; PIMAGE_OPTI...
64驱动加载工具
10-02
64驱动加载工具,不过只能加载NT驱动
powertool 使用学习总结
bcbobo21cn的专栏
07-30 6519
简介  PowerTool是一款免费的系统分析,手动杀毒工具。这款内核级的手动杀毒辅助工具,能帮助你找出病毒 木马在你的电脑中动过的手脚,并去除病毒设下的机关。目前具备以下功能:系统修复、进程管理、内 核模块内核相关、钩子、应用层、文件、注册表、离线分析、启动项、系统服务、网络链接、漏洞修 复等。    PowerTool 的特色在于它能够获取较高权限,
内核回调
weixin_30794491的博客
10-15 324
相对于各种HOOK的安全性、稳定性问题,我更喜欢使用回调来做各种监视 虽然回调函数获取各种信息的时间偏后于先手HOOK获取各种信息的时间,而且不一定可以拦截到什么,但是这更安全。 PsSetCreateProcessNotifyRoutine 进程创建回调(它的回调运行的时候,进程应该已经被创建了,但是还没有跑起来,所以这里可以实现拦截进程创建的效果) PsSetCreat...
IDA 6.1调试驱动
kingswb的博客
04-23 2716
今天在测试的时候发现IDA 5.5可以启动windbg调试器,而IDA 6.0却无法启动windbg调试器。大体看了一下可能是由于搜索路径造成的,重新将windbg安装到program files下之后问题就结局了。 网上也有关于用IDA调试驱动的文章,这里只是再整理一下,用IDA载入驱动分析完成之后选择调试器为Windbg debugger,如图1所示: 图1 然后执行
绕过杀毒软件之一(实时监控篇)
老裴
06-21 6575
杀毒软件的实时监控分为两个部分  一:Notify部分  二:Attach到文件系统部分一:Notify对与杀毒软件致关重要(有些流氓软件也用的),主要用到的是   PsSetLoadImageNotifyRoutine和   PsSetCreateProcessNotifyRoutine这两个函数1 PsSetLoadImageNotifyRoutine(  IN PLOAD_IMAGE_NOT
驱动开发:内核运用LoadImage屏蔽驱动
最新发布
CSDN
10-26 1万+
强制返回的方法意外,屏蔽驱动加载还可以使用另一种方式实现禁用模块加载,例如当驱动加载首先回调函数内可以接收到,当接收到以后直接调用。我们看下驱动加载器,提示的信息是拒绝访问,因为这个驱动其实是加载了的,只是入口处被填充了返回而已。加载这段驱动程序,当有DLL文件被加载后,则会强制弹出,从而实现屏蔽模块加载的作用。无法实现参数控制,而如果我们想要控制特定驱动加载则需要自己做一些事情来实现,如下。节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入。返回指令,即可实现屏蔽加载特定驱动文件。
Win64驱动内核编程环境搭建与调试指南
"天使也掉毛 Win64 驱动内核编程" 是一本关于64Windows驱动程序开发的教程资源,由作者“天使也掉毛”在CSDN博客上分享。这本书或教程主要涵盖了驱动开发的基础到进阶内容,特别是针对Win64平台的内核编程技术。 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值