ObRegisterCallbacks注册句柄操作回调与进程保护

最新推荐文章于 2023-12-01 15:48:05 发布
最新推荐文章于 2023-12-01 15:48:05 发布
阅读量1.1k 收藏 1
点赞数
文章标签: c++ windows 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42969457/article/details/128623557
版权

简单记录下ObRegisterCallbacks的基本用法,加深一下自己的理解,也希望帮助看到的人少走这方面的弯路。如有错误还望不吝指正。

NTSTATUS ObRegisterCallbacks(
POB_CALLBACK_REGISTRATION CallbackRegistration,
PVOID *RegistrationHandle
);

第二个参数指向一个PVOID类型的数组,用于接收此次操作所注册的回调的句柄。一般来说你要注册多少个回调,数组就多长。
重点在于第一个参数,它是一个指向_OB_CALLBACK_REGISTRATION 结构的指针。

typedef struct _OB_CALLBACK_REGISTRATION {
  USHORT                    Version;
  USHORT                    OperationRegistrationCount;
  UNICODE_STRING            Altitude;
  PVOID                     RegistrationContext;
  OB_OPERATION_REGISTRATION *OperationRegistration;
} OB_CALLBACK_REGISTRATION, *POB_CALLBACK_REGISTRATION;

1.第一个成员Version,msdn说"Drivers should specify OB_FLT_REGISTRATION_VERSION.",那就听他的。
2.第二个成员OperationRegistrationCount,要注册的回调的数量。不必多说。一般与前面那个数组的长度一样。
3.第三个成员Altitude,根据msdn上的解释是驱动被加载的优先级。不同类型的驱动有不同的值范围。在后面的例子中我使用了“321000”这个值。(在一个环境下同一个值不能被重复使用,否则调用失败。注册多个回调时要注意这一点)
4.第四个成员RegistrationContext,当你的回调函数被调用时,系统会把这个参数传递给那个回调函数,如果不需要就填NULL。
5.第五个成员OperationRegistration,它指向一个_OB_OPERATION_REGISTRATION类型的结构。

typedef struct _OB_OPERATION_REGISTRATION {
  POBJECT_TYPE                *ObjectType;
  OB_OPERATION                Operations;
  POB_PRE_OPERATION_CALLBACK  PreOperation;
  POB_POST_OPERATION_CALLBACK PostOperation;
} OB_OPERATION_REGISTRATION, *POB_OPERATION_REGISTRATION;

1.第一个成员ObjectType,指明了这个回调要处理的对象类型,按照msdn的说法可以是PsProcessType,PsThreadType,ExDesktopObjectType 的其中之一。但其他的类似于SeTokenObjectType,IoFileObjectType也可以用,但因为系统默认是不开启这些回调的,需要先用EnableObType函数启用。
例如:EnableObType(*SeTokenObjectType);
2.第二个成员Operations,指定要处理的句柄操作类型,可以是OB_OPERATION_HANDLE_CREATE或者OB_OPERATION_HANDLE_DUPLICATE。顾名思义前者代表一个句柄被创建,后者代表句柄被复制。可以用位或操作运算符|进行叠加。
3.第三个和第四个成员分别是两个回调函数的指针,前者会在操作发生前被调用,后者会在操作发生后被调用。可以为NULL。

再来说一下回调函数的定义。

首先是操作前被调用的。

POB_PRE_OPERATION_CALLBACK PobPreOperationCallback;

OB_PREOP_CALLBACK_STATUS PobPreOperationCallback(
  [in] PVOID RegistrationContext,
  [in] POB_PRE_OPERATION_INFORMATION OperationInformation
)
{...}

1.第一个参数是你在_OB_CALLBACK_REGISTRATION中指定的。
2.第二个参数指向一个_OB_PRE_OPERATION_INFORMATION类型的结构体

typedef struct _OB_PRE_OPERATION_INFORMATION {
  OB_OPERATION                 Operation;
  union {
    ULONG Flags;
    struct {
      ULONG KernelHandle : 1;
      ULONG Reserved : 31;
    };
  };
  PVOID                        Object;
  POBJECT_TYPE                 ObjectType;
  PVOID                        CallContext;
  POB_PRE_OPERATION_PARAMETERS Parameters;
} OB_PRE_OPERATION_INFORMATION, *POB_PRE_OPERATION_INFORMATION;

1.第一个成员Operation,发生的操作类型,OB_OPERATION_HANDLE_CREATE或者OB_OPERATION_HANDLE_DUPLICATE。
2.下面那个联合体中,Flags和Reserved都是系统保留的空间,KernelHandle表示这个句柄是不是内核句柄。
3.Object是将要操作的句柄所对应的对象。比如PEPROCESS,PETHREAD。具体靠下一个成员ObjectType判断。
4.ObjectType表示这个句柄的类型,同_OB_OPERATION_REGISTRATION的第一个成员。
5.CallContext默认为NULL,在PreCallback中可以将其设置为其他值,这个值会被传递到PostCallback。
6.Parameters指向一个_OB_POST_OPERATION_PARAMETERS类型的联合体

typedef union _OB_POST_OPERATION_PARAMETERS {
  OB_POST_CREATE_HANDLE_INFORMATION    CreateHandleInformation;
  OB_POST_DUPLICATE_HANDLE_INFORMATION DuplicateHandleInformation;
} OB_POST_OPERATION_PARAMETERS, *POB_POST_OPERATION_PARAMETERS;

根据Operation的值来确定访问哪一个,OB_OPERATION_HANDLE_CREATE对应前者。

typedef struct _OB_PRE_CREATE_HANDLE_INFORMATION {
  ACCESS_MASK DesiredAccess;
  ACCESS_MASK OriginalDesiredAccess;
} OB_PRE_CREATE_HANDLE_INFORMATION, *POB_PRE_CREATE_HANDLE_INFORMATION;

_OB_PRE_CREATE_HANDLE_INFORMATION中定义了被创建的句柄所具有的原始权限和最终申请的权限。我们可以通过修改DesiredAccess的值来修改句柄的权限,比如我不想让我的进程被其他进程Terminate,就可以从句柄中拿掉相关的权限,示例如下。

switch (OperationInformation->Operation)
{
	case OB_OPERATION_HANDLE_DUPLICATE:
		break;

	case OB_OPERATION_HANDLE_CREATE:
	{
		if (OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & 1)
		{
			OperationInformation->Parameters->CreateHandleInformation.DesiredAccess = 0;
		}
		break;
	}
}

那些被按位置零的值是ACCESS_MASK中的Specific Right,也就是前16位。对象类型是Process时代表PROCESS_TERMINATE等等。当然我们最好不只把PROCESS_TERMINATE权限拿掉,为了保险也把内存操作,挂起之类的权限拿掉了。
DuplicateHandleInformation与前面的大致相同,不同点是可以获取复制句柄的源进程和操作进程。
其他需要注意的是,你不能给复制的句柄添加原来没有的权限,但可以把已有的权限拿掉。

PostOperationCallback不常用并且用法与PreOperationCallback大致相同就不多说了。
只需要注意你不能在PostOperationCallback回调函数中修改这个句柄的权限。只能通过GrantedAccess获取。

附完整Demo代码:

#include "driverdef.h"

VOID DriverUnload(PDRIVER_OBJECT pDriver);
PVOID ProcHandle = NULL;

extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
	OB_CALLBACK_REGISTRATION cr;  
	_OB_OPERATION_REGISTRATION or;
	
	UNREFERENCED_PARAMETER(RegistryPath);

	

	DriverObject->DriverUnload = DriverUnload;
	((PLDR_DATA)DriverObject->DriverSection)->Flags |= 0x20;    //绕过签名检测

	RtlZeroMemory(&or, sizeof(OB_OPERATION_REGISTRATION));
	RtlZeroMemory(&cr, sizeof(OB_CALLBACK_REGISTRATION));
	RtlInitUnicodeString(&cr.Altitude, L"321000");

	cr.Version = OB_FLT_REGISTRATION_VERSION;

	cr.RegistrationContext = NULL;
	cr.OperationRegistrationCount = 1;
	
	or.ObjectType = PsProcessType;
	or.Operations = OB_OPERATION_HANDLE_CREATE;
	or.PreOperation = ObjectPreCallback;

	cr.OperationRegistration = ∨
	
	return ObRegisterCallbacks(&cr, &ProcHandle);
}

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	UNREFERENCED_PARAMETER(pDriver);

	if (ProcHandle != NULL)ObUnRegisterCallbacks(ProcHandle);
}

OB_PREOP_CALLBACK_STATUS ObjectPreCallback(
	_In_  PVOID RegistrationContext,
	_In_  POB_PRE_OPERATION_INFORMATION OperationInformation
)
{
	UNREFERENCED_PARAMETER(RegistrationContext);
	UNREFERENCED_PARAMETER(OperationInformation);
	
	PEPROCESS pEProcess = NULL;

	// 判断对象类型 
	if (*PsProcessType != OperationInformation->ObjectType)
	{
		return OB_PREOP_SUCCESS;
	}


	//获取该进程结构对象的名称
	pEProcess = (PEPROCESS)OperationInformation->Object;
	HANDLE pid = PsGetProcessId(pEProcess);
	char szProcName[256] = { 0 };
	strcpy(szProcName, GetProcessImageNameByProcessID((ULONG)pid));

	if (_stricmp(szProcName, "Demo.exe"))return OB_PREOP_SUCCESS;

	switch (OperationInformation->Operation)
	{
	case OB_OPERATION_HANDLE_DUPLICATE:
		break;

	case OB_OPERATION_HANDLE_CREATE:
	{
		if (OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & 1)
		{
			OperationInformation->Parameters->CreateHandleInformation.DesiredAccess = 0;
		}
		break;
	}
	}
	
	return OB_PREOP_SUCCESS;
}

char* GetProcessImageNameByProcessID(
	_In_ ULONG ulProcessID
)
{
	NTSTATUS  Status;
	PEPROCESS  EProcess = NULL;

	Status = PsLookupProcessByProcessId(
		(HANDLE)ulProcessID,
		&EProcess);    //EPROCESS

	//通过句柄获取EProcess
	if (!NT_SUCCESS(Status))
		return FALSE;
	ObDereferenceObject(EProcess);
	//通过EProcess获得进程名称
	return (char*)PsGetProcessImageFileName(EProcess);
}

Git库:https://github.com/rootacite/ProcessProtect_Level3

空白Acite
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG 3、设置R3层的访问权限 4、保护指定进程的内存权限 5、遍历进程句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
基于ObRegisterCallbacks实现的线程和进程监控及其保护
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
02-23 3087
要实现监控系统线程和进程,并实现对指定线程和进程保护,在 32 位系统上可以使用 HOOK 技术,HOOK 相关的函数来实现。但是,到了 64 位平台上,就不能继续按常规的 HOOK 方法去实现了。 好在 Windows 给我们提供了 ObRegisterCallbacks 内核函数来注册系统回调,可以用来注册系统线程回调,监控系统的线程创建、退出等情况,而且还能进行控制;也可以用来注册系统进程回调,可以监控系统的进程创建、退出等情况,而且也能进行控制。这使得我们实现保护指定线程、进程不被结束,提供了可
X64下利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 5303
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
7.6 Windows驱动开发:内核监控FileObject文件回调
CSDN
12-01 1万+
ObRegisterCallbacks是Windows操作系统提供的一个内核API函数,用于注册对象回调函数。对象回调函数是一种内核回调函数,可以用于监视和拦截系统中的对象操作,例如文件、进程、线程等。 在文件系统中,FileObject是内核中表示文件对象的结构体,包含了文件的相关信息,例如文件名、文件句柄、访问权限等。当操作系统执行文件操作时,会使用FileObject结构体来表示文件对象。
Windows内核编程【对象和注册表通知】
qq_45844442的博客
07-12 384
那么接下来就可以直接使用了,注册时给各个参数赋值,然后在回调函数中对获取的信息进行操作(以下代码是从链接中改写过来的)可以看到有两个参数,第一个参数是为了更好的描述回调中的相关信息,第二个参数是返回注册后的回调句柄。不好理解,这是因为回调的时候有处理操作前和处理操作后,还有删除注册表和设置键值等等这种类型,所以在。实验结果如下,在任务管理器中无法直接终止目标程序,但是程序自身可以将自己退出,原理就是在。那么接下来就要看申请的空间中存放的是什么数据,可以观察到在上方。所对应的不同的值,上图中结构类型就是。
简单说一下 Steam平台 常用游戏的EAC反调试保护 WIN7X64
热门推荐
落笔飞花笑百生的博客
05-09 1万+
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿               CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存              反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程
C#调用LibVLCSharp库播放视频 句柄播放 或回调播放
最新发布
01-02
2、回调函数播放视频 mediaPlayer.SetVideoFormat("RV32", _width, _height, _pitch); mediaPlayer.SetVideoCallbacks(VideoLockCallBack, null/*VideoUnlockCallBack*/, DisplayVideo); mediaPlayer.Play(media); ...
易语言通过窗口句柄取得进程ID
08-21
通过窗口句柄取得进程ID系统结构:句柄获得进程ID_DLL, ======窗口程序集1 || ||------_按钮1_被单击 || || ======调用的Dll || ||---[dll]------句柄获得进程ID_DLL 调用的DLL命令: .DLL命令句柄获得进程
C#获取进程的主窗口句柄的实现方法
01-21
通过调用Win32 API实现。 代码如下:public class User32API{ private static Hashtable processWnd = null;  public delegate bool WNDENUMPROC(IntPtr hwnd, uint lParam);  static User32API() { if ...
驱动保护进程 句柄降权 杀软自保 游戏破图标技术实现代码
11-19
驱动保护进程 句柄降权 杀软自保 游戏破图标技术实现代码
Past Team驱动保护
08-22
Past Team驱动保护
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
游戏驱动保护
12-12
制作网游外挂必备知识,破除游戏保护,轻轻松松过驱动。郁金香老师讲解,学生笔录,很详细。
驱动开发:内核注册并监控对象回调
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9196
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
windows环境下的自保护探究
hongduilanjun的博客
09-14 1193
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
windows驱动 - 进程回调
qq726232111的博客
12-29 1083
0x00 函数 ObRegisterCallbacks() //为线程、进程和桌面句柄操作注册回调例程列表 ObUnRegisterCallbacks() //卸载回调注册 0x01 代码 //打印哪些进程操作notepad进程句柄 #include <wdm.h> PCHAR PsGetProcessImageFileName(PEPROCESS Process); #define ProcessName "cmd" typedef struct _LDR_DATA_T..
Win764位系统下使用ObRegisterCallbacks内核函数来实现进程保护
r250414958的博客
11-16 929
先发代码 参考了: https://bbs.pediy.com/thread-200048.htm forwardbob https://bbs.pediy.com/thread-168023-1.htm tianhz http://www.cnblogs.com/aliflycoris/p/5468175.html LycorisGuard 这三位大牛的代码以及原理 #ifndef C...
进程句柄保存在哪里是进程中吗
07-14
进程句柄(Process Handle)是一个操作系统提供的数据结构,用于标识和访问一个已打开的进程进程句柄本身不是保存在进程内的,而是由操作系统内核维护和管理。 在Windows操作系统中,进程句柄是由操作系统内核分配和管理的,每个进程都有一个句柄表(Handle Table)用于保存其打开的句柄。这个句柄表是位于操作系统内核空间中的数据结构,用于跟踪和管理进程句柄。 当一个进程通过API函数(如OpenProcess)打开其他进程时,操作系统内核会为该进程分配一个新的进程句柄,并将其保存到其句柄表中的一个条目中。进程句柄通常是一个整数值(如32位或64位),它在操作系统内核中具有唯一性,用于标识和引用该进程。 当调用进程通过句柄执行操作时,操作系统内核会根据句柄表中的条目找到对应的进程句柄,并使用它来执行相应的操作。这样,调用进程就可以通过句柄来访问和操作其他进程的资源,如内存、线程、文件等。 需要注意的是,进程句柄是跨进程的标识符,它只在打开进程的上下文中具有有效性。在其他进程或外部环境中,进程句柄无法直接使用或解析。这是为了保护进程的隔离性和系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值