内核回调的触发时机

最新推荐文章于 2022-10-24 09:08:03 发布
最新推荐文章于 2022-10-24 09:08:03 发布
阅读量530 收藏
点赞数
原文链接:http://www.cnblogs.com/suanguade/p/4078034.html
版权

自己验证的

 

环境WinXP SP3 x86

 

进程创建回调

  进程被影射进内存之后,仅仅是被影射进来之后。

  也就是进程内部空间的修改可能会修改到应用程序文件。

  这时有一条线程存在,但是没有被运行,也就是说,主线程存在,但是还没有执行到exe 的 oep。

  这时可以做的操作不多,

  可以插入APC,但是不可以修改进程空间的任何内存空间,因为被修改的地方可能会直接被影射到文件中。

 

镜像加载回调

  一个镜像被加载(影射)进内存之后。

  这时仍然不能对进程内部空间作修改,

  同样,这时仍然没有执行到 oep,

  主线程也仍然没有运行。

  可以插入APC。

  第一个被加载的镜像就是该进程的应用程序文件,镜像基址为建议加载地址,或者重定位加载地址。

  第二个被加载的镜像为 ntdll.dll

  然后依次为 kernel32 user32 gdi32

  当ntdll被加载的时候,仍然不能修改各种进程内部空间的数据。只要修改,都有可能被保存到文件。

 

注册表回调

  待测试

 

线程回调

  待测试

 

转载于:https://www.cnblogs.com/suanguade/p/4078034.html

weixin_30430169
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2.内核回调机制
My classmates
11-07 2247
有谁调用了窗口过程? GetMessage()在处理SentMessagesListHead中消息时 DispatchMessage(&msg)在处理其他队列中的消息时 CreateWindow() 0环的一些代码也会调用窗口过程,但它没有发消息给队列而是直接调用窗口过程(KeUserModeCallback) NtUserCreateWindowEx()这样设计是因为,如果你程序需要...
内核回调
weixin_30794491的博客
10-15 315
相对于各种HOOK的安全性、稳定性问题,我更喜欢使用回调来做各种监视 虽然回调函数获取各种信息的时间偏后于先手HOOK获取各种信息的时间,而且不一定可以拦截到什么,但是这更安全。 PsSetCreateProcessNotifyRoutine 进程创建回调(它的回调运行的时候,进程应该已经被创建了,但是还没有跑起来,所以这里可以实现拦截进程创建的效果) PsSetCreat...
NtTraceControl内核回调
如鹿渴慕泉水的专栏
09-11 504
__int64 __fastcall NtTraceControl(unsigned int a1, unsigned int *a2, unsigned int a3, void *a4, unsigned int Length, _DWORD *a6) { unsigned int *v6; // r13 unsigned int v7; // er14 char *v8; // r12 _QWORD *v9; // rsi __int64 v10; // rbx __int64
内核进程回调遍历【记录】
WorryFree
05-15 417
通过WinDbg手动进行内核进程回调表遍历【记录】
Windows消息机制学习笔记(四)—— 内核回调机制
qq_41988448的博客
06-24 1026
消息机制学习笔记(四)—— 内核回调机制要点回顾内核调用实验1:理解内核调用第一步:编译并运行以下代码第二步:修改窗口过程函数,重新运行结论KeUserModeCallback分析KeUserModeCallback 要点回顾 1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列中的消息 2)DispatchMessage()用于处理其它队列中的消息。 内核调用 描述:窗口过程函数除了会在消息循环中被调用,一些0环的代码也可以直接发起调用。 例如:窗口初始化时、窗口
linux内核源代码分析中断处理程序与内核同步ppt课件.ppt
11-20
- Tasklet定义在`tasklet_struct`结构中,包含状态标志、引用计数器和回调函数。 - 注册Tasklet使用`tasklet_init`,调度使用`tasklet_schedule`。 - Tasklet的执行由内核在适当的时机自动调度,无需手动触发。 ...
MSP430单片机DAC调测程序
08-05
5. 循环和同步:在连续输出模拟波形的情况下,需要合理安排数据加载和转换触发时机,确保输出的连续性和稳定性。 在"g DAC"这个文件中,很可能包含了与上述步骤相关的代码和配置信息,可能包括初始化函数、数据...
test(多媒体定时器的定制和使用方法).rar
09-14
可以使用Visual Studio的调试工具,或者自定义日志输出,监控定时器的触发时机和频率。 7. **总结** 多媒体定时器是提升应用程序性能的重要工具,尤其在需要高精度定时的场景。正确理解和使用多媒体定时器,可以...
tick-oneshot.rar_high
09-23
高分辨率的One-Shot定时器可能使用了内核的调度器定时器API,通过注册回调函数并在指定时间点执行来设置和管理这些定时器。它们可能利用了硬件定时器,如Intel的HPET(High Precision Event Timer)或者ARM架构的...
你了解Embeded linux中的probe.docx
11-08
在Linux内核3.18.20版本及类似版本中,当一个device和对应的device_driver被注册到内核后,如果它们有相同的名称,内核会自动调用device_driver中的probe回调函数。probe函数是驱动程序的主要入口点,负责执行如下...
驱动开发:内核注册并监控对象回调
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
驱动开发:内核中的文件回调
CSDN
11-01 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。
驱动开发:内核监控进程与线程回调
热门推荐
CSDN
10-23 1万+
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防病毒程序,进程监控在防病毒程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
获取进程基址
经典的误导的专栏
12-06 8443
直接上我写KingDom Rush外挂的代码,一开始想法是直接在内存中定位到关键汇编代码,直接在内存中改写就可以了。 发现基址和定位的关键汇编地址没有任何联系,可能是随机分配的缘故吧。不过还是纪录一下这种方法 #include #include #include #include using namespace std; bool changeAsm(HANDLE mproc, DWORD
YAFFS跟踪
weixin_30575309的博客
11-26 187
小小地跟踪下read函数,从ssize_t read(int fd, void *buf, size_t count)到DATASHEET一调到底,见证内核的分层模块化。 --内核服务例程开始提供服务-- --fs/read_write.c--SYSCALL_DEFINE3(read, unsigned int, fd, char __user *, buf, size...
Win64 驱动内核编程-14.回调监控文件
天使也掉毛
03-12 3681
回调监控文件     使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视。但可惜只能在 WIN7X64 上用。因为在 WIN7X64 上 PATCH 对象结构的成员(ObjectType->TypeInfo.SupportsObjectCallbacks)是合法的,在 WIN8X64 以及之后系统上会触发 PATCHGUARD。
【Linux内核进程调度
屎蛋的铲屎官
08-13 353
多任务 1.多任务可以划分为两类 非抢占式多任务,进程自己主动让出,如果不让出就麻烦 抢占式多任务,由调度程序挂起进程,Linux使用抢占式多任务 2.IO消耗性/CPU消耗性 IO消耗型,比如GUI界面 CPU消耗型,比如无限循环执行 IO和CPU都消耗型,比如X Window服务 3.为了提高响应优化,Linux一般会优先调度IO消耗性进程 4.实时进程和普通进程 实时进程一直运行直到退出,除非它阻塞才会释放CPU 实时进程只能被更高优先级的实时进程抢占 实时进程优先级高于普通进程 5.Li
回调函数使用方法--例子程序(转载)
河北正定欢迎您-少占鱼
10-23 1444
看了人家的例子,比看那么多定义好多了。一看就明白了。好人啊!老外把国人玩的不是人了。国人还自己玩自己。非把一个简单的东西复杂化。叫那么难理解!!完啦,窝里斗的典型!!!!!!!!回调函数:我的理解。假设   A是回调函数,B是调用者,B参数里一个是指向A的函数指针,即回调A,同时另外的参数传递给A作为参数。A可以是多个函数的统一指向,只要函数参数个数相同即可。WINDOWS回调函数:永远不会被程序
linux内核socket+回调函数
最新发布
03-29
Linux内核中的Socket是一种用于网络通信的抽象接口,它允许应用程序通过网络进行数据传输。在Linux内核中,Socket通信的实现主要依赖于回调函数。 回调函数是一种特殊的函数,它在某个事件发生时被调用。在Socket编程中,回调函数主要用于处理网络事件,例如接收到新的连接、接收到数据等。 在Linux内核中,Socket通信的实现主要涉及以下几个关键概念和回调函数: 1. Socket创建:应用程序通过调用socket()系统调用创建一个Socket对象。在内核中,会调用sock_create()函数创建一个新的Socket对象,并将其与相应的协议族关联起来。 2. Socket绑定:应用程序通过调用bind()系统调用将Socket对象与一个特定的地址和端口进行绑定。在内核中,会调用sock_bind()函数将Socket对象与指定的地址和端口进行关联。 3. Socket监听:应用程序通过调用listen()系统调用将Socket对象设置为监听状态,等待客户端的连接请求。在内核中,会调用sock_listen()函数将Socket对象设置为监听状态,并注册一个回调函数来处理新的连接请求。 4. Socket接收连接:当有新的连接请求到达时,内核会调用之前注册的回调函数来处理该连接请求。在内核中,会调用sock_accept()函数接受新的连接,并调用相应的回调函数进行处理。 5. Socket接收数据:当有数据到达时,内核会调用之前注册的回调函数来处理接收到的数据。在内核中,会调用sock_recvmsg()函数接收数据,并调用相应的回调函数进行处理。 6. Socket发送数据:应用程序通过调用send()或者write()系统调用将数据发送给远程主机。在内核中,会调用sock_sendmsg()函数发送数据,并调用相应的回调函数进行处理。 以上是Linux内核中Socket通信的基本流程和相关回调函数的介绍。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值