Win64 驱动内核编程-14.回调监控文件

最新推荐文章于 2022-10-28 09:08:20 发布
最新推荐文章于 2022-10-28 09:08:20 发布
阅读量3.6k 收藏 3
点赞数 1
分类专栏: 驱动内核编程 文章标签: 驱动 回调监控文件 文件保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/61616168
版权

回调监控文件

    使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视。但可惜只能在 WIN7X64 上用。因为在 WIN7X64 上 PATCH 对象结构的成员(ObjectType->TypeInfo.SupportsObjectCallbacks)是合法的,在 WIN8X64 以及之后系统上会触发 PATCHGUARD。但是经过实际测试,我手里的Win7 64 是可以在不修改myobtype->TypeInfo.SupportsObjectCallbacks = 1;的前提下直接注册回调,但是win8 64不行,win8 64 修改了myobtype->TypeInfo.SupportsObjectCallbacks = 1;之后发现没有蓝屏并且目前可以成功进行回调处理(只测试了手里的一台win8 64)。文件回调容易出问题,频率非常高。使用的时候建议使用成熟的文件过滤框架。

使用的时候和进程线程的回调句柄处理一样,需要修改标记使得无签名可以正常注册回调,然后在修改文件的myobtype->TypeInfo.SupportsObjectCallbacks = 1;然后在进行回调注册就行了。

注册:
// init callbacks
OB_CALLBACK_REGISTRATION obReg;
OB_OPERATION_REGISTRATION opReg;
memset(&obReg, 0, sizeof(obReg));
obReg.Version = ObGetFilterVersion();
obReg.OperationRegistrationCount = 1;
ob
最低0.47元/天 解锁文章
TK13
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9210
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
总结一下ObRegisterCallbacks绕过
zhuhuibeishadiao
10-18 5323
1.物理Section Map到用户空间 解析物理地址操作内存 2.修改PsProcessType/PsThreadType下_OBJECT_TYPE_INITIALIZER下RetainAccess为0x1fffff 无视抹权限 原理见ObpPreInterceptHandleCreate ObpPreInterceptHandleCreate(PVOID Object, unsigned _...
驱动开发:内核中的文件回调
CSDN
11-01 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。
驱动开发:内核监控FileObject文件回调
最新发布
CSDN
10-28 6805
以此来实现对文件监控文件过滤驱动不仅仅可以用来监控文件的打开,还可以用它实现对文件保护,一旦驱动加载则文件是不可被删除和改动的。开关,并定义一些微软结构,如下是我们所需要的公开结构体,可在微软官方或WinDBG中获取到最新的,将其保存为。运行这个驱动程序,当系统中有新文件被加载时则自动输出该文件所属进程PID以及该文件的详细路径。属性的驱动来说自然就支持文件路径转换,当系统中有文件被加载则自动执行。与进程线程回调有少许的不同,文件回调需要开启驱动的。文章中使用的方法是一致的,首先判断。
驱动开发:对象回调监控文件访问
CSDN
10-14 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。实现文件监控呢,比如当文件被访问时自动触发回调,看如下代码实现方式。那么如何实现文件监控呢,比如当文件被访问时自动触发回调,看如下代码实现方式。
WIN64驱动编程基础教程
12-06
|-WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码 ---------------------------...
驱动签名 隐藏进程 保护进程 多种方式 保护进程的 驱动
05-18
修改Flag(改变进程的属性标志),hook对象(挂起或替换系统函数调用),抹psp表(修改进程安全属性结构),csscs表(可能是指进程的安全上下文或系统服务描述表),以及注册回调(设置内核回调函数以监控系统事件...
WIN64驱动 InLine_HOOK框架
12-28
“ProjectSys.c”可能是包含了实际的驱动代码,包括创建钩子,安装钩子,以及处理钩子回调的逻辑。而“HookApi.h”则可能是定义了相关API接口,方便其他模块调用InLine_HOOK功能。对于初学者,理解这两个文件中的...
驱动开发教程
05-07
|-WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码 ---------------------------...
寒江独钓-Windows内核安全编程(高清完整版).part3
01-04
6.3.7 boot驱动完成回调函数和稀疏文件 150 6.3.8 读/写请求的处理 152 本章的示例代码 160 练习题 161 第7章 文件系统的过滤与监控 162 7.1 文件系统的设备对象 163 7.1.1 控制设备与卷设备 163 7.1.2 生成自己的一...
驱动级杀进程易语言源码
12-15
易语言驱动级杀进程源码带驱动,除驱动外还有N种方法,都是在没有恢复SSDT下完成的.如果恢复了SSDT,进程就像豆腐般脆弱.
Win764位系统下使用ObRegisterCallbacks内核函数来实现进程保护
r250414958的博客
11-16 932
先发代码 参考了: https://bbs.pediy.com/thread-200048.htm forwardbob https://bbs.pediy.com/thread-168023-1.htm tianhz http://www.cnblogs.com/aliflycoris/p/5468175.html LycorisGuard 这三位大牛的代码以及原理 #ifndef C...
关于Win7 x64下过TP保护(内核层)(转)
weixin_30819085的博客
07-21 631
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了。在他的教程里我学到了不少东西。第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护。如果有讲错的地方,还望指出。说不定我发帖后一星期TP就会大更新呢。打字排版好辛苦。先说说内核层,看大家的反应后再说说应用层的保护。(包括解决CE非法问题)调试对象:DXF调试工具:OD、Windbg调试环境:Win7 SP1 X64...
ObRegisterCallbacks
weixin_30627381的博客
06-25 211
ObRegisterCallbacks 转载于:https://www.cnblogs.com/kb505/p/7077593.html
教你在64Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
D_R_L_T的博客
04-02 1091
原文链接:https://bbs.pediy.com/thread-168023.htm我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题:(1)怎么样在64位的Windows7操作系统下实现进程保护? (2)我在网络上搜索了很多天,我根本就找不到64位进程保护的文章啊!(3)...
windows10激活出现0xC0000022
热门推荐
qq_36916968的博客
12-19 2万+
怎么办?不要担心,先找到了C:\Windows\System32\spp\store 文件夹,查看了下它的权限,如没有sppsvc,则手动添加了NT SERVICE\sppsvc 并给完全控制的权限。如果有,这一步直接跳过。 下一步重新打开服务Software Protection。 问题解决了。 注:这种问题的原因是电脑被360流氓软件感染或手动删除系统文件导致。 ...
X64下利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 5355
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程的保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
Win64 驱动内核编程-11.回调监控进线程句柄操作
天使也掉毛
03-12 5116
无HOOK监控进线程句柄操作     在 NT5 平台下,要监控进线程句柄的操作,通常要挂钩 3 个 API:NtOpenProcess、NtOpenThread、NtDuplicateObject。但是在 VISTA SP1 以及之 后的系统中,我们可以完全抛弃 HOOK 方案了,转而使用一个标准的 API:ObRegisterCallbacks。下面做一个监视进线程句柄操作的程序,并实现保
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值