Windows系统通用回调

于 2022-02-04 16:47:48 发布
阅读量1.6k 收藏 1
点赞数 2
分类专栏: C++ Windows 驱动 文章标签: windows
原文链接:https://blog.csdn.net/zzy1448331580/article/details/118325401
版权
C++ 同时被 3 个专栏收录
232 篇文章 19 订阅
订阅专栏
Windows
44 篇文章 1 订阅
订阅专栏
驱动
6 篇文章 0 订阅
订阅专栏

本文将针对Windows操作系统所提供系统回调操作做逐一分析,以了解每个回调所能达成什么样的功能及效果。比如部分回调只是用于通知,我们只能通过此回调来了解某一类型事件的发生,只能做审计,拦截动作需要通过其它途径实现;也有回调可以实现即时拦截,通过回调即可阻止恶意程序的攻击企图。

Windows系统在内核及应用层均有提供回调机制,下面分为两部分作介绍:
1 内核回调
内核回调机制        OS版本    功能描述    备注
PsSetCreateProcessNotifyRoutine        WIN2K    只是进程创建及退出通知    
PsSetCreateProcessNotifyRoutineEx        VISTA SP1/SRV2008    可通过返回值阻止进程创建    
PsSetCreateProcessNotifyRoutineEx2        WIN10 1703    可接收到WSL/PICO进程创建及退出通知;可阻止进程创建    
PsSetCreateThreadNotifyRoutine (PsRemoveCreateThreadNotifyRoutine)        WIN2K    线程创建及退出通知    创建时的context为创建者,可用以判断是不是远程线程
PsSetCreateThreadNotifyRoutineEx (PsRemoveCreateThreadNotifyRoutine)        WIN10    线程创建及退出通知    创建时的context为新线程环境
                
PsSetLoadImageNotifyRoutine (PsRemoveLoadImageNotifyRoutine)        WIN2K    模块加载通知:支持驱动及应用层DLL加载通知    无模块卸载通知
PsSetLoadImageNotifyRoutineEx (PsRemoveLoadImageNotifyRoutine)        WIN10 1709    模块加载通知:支持驱动及应用层DLL加载通知    无模块卸载通知
IoRegisterBootDriverCallback (IoUnRegisterBootDriverCallback)        WIN8    Boot-Start驱动加载通知,可拦截,但拦截的后果即BSOD    加载顺序问题;ELAM驱动最早加载,需要特殊签名
SeRegisterImageVerificationCallback (SeUnregisterImageVerificationCallback)        WIN8.1 ?    驱动加载回调,可以验证驱动签名信息    函数未公开,目前Windows Defender会使用
                
ObRegisterCallbacks (ObUnRegisterCallbacks)        VISTA SP1 SRV2008    针对进程及线程对象句柄的创建提供前置及后置回调,可修改句柄权限,如针对进程对象无VM映射权限。子进程继承句柄不会通知    WIN7系统可监控文件句柄的创建,需要修改未公开的系统结构(ObjectType->SupportsObjectCallbacks),WIN8后PG会监控。WIN10系统增加了桌面对象的监控支持
                
CmRegisterCallback (CmUnRegisterCallback)        XP    注册表操作回调,可修改、转向或拦截原访问请求    XP/SRV2003/VISTA行为有差异
CmRegisterCallbackEx (CmUnRegisterCallback)        VISTA    注册表操作回调,可修改、转向或拦截原访问请求    
                
ExRegisterCallback                
-- \Callback\SetSystemTime        WIN2K    系统时钟修改回调    
-- \Callback\PowerState        WIN2K    电源状态改变回调(AC/DC,电源策略,待机或关机)    早于Power Manager的IRP_SET_POWER请求
-- \Callback\ProcessorAdd        VISTA    动态增加新CPU事件通知    
                
KeRegisterBoundCallback (KeDeregisterBoundCallback)        WIN10    用以捕获应用层边界检测异常,可用于应用层HOOK    
                
Standard Event Objects for VM :        所有    主要用于监控内存状态    
-- \KernelObjects\HighMemoryCondition                
-- \KernelObjects\LowMemoryCondition                
-- \KernelObjects\HighPagedPoolCondition                
-- \KernelObjects\LowPagedPoolCondition                
-- \KernelObjects\HighNonPagedPoolCondition                
-- \KernelObjects\LowNonPagedPoolCondition                
-- \KernelObjects\LowCommitCondition                
-- \KernelObjects\HighCommitCondition                
-- \KernelObjects\MaximumCommitCondition                
                
KeRegisterBugCheckCallback (KeDeregisterBugCheckCallback)        WIN2K    系统出错准备蓝屏时的回调通知    
KeRegisterBugCheckReasonCallback (KeDeregisterBugCheckReasonCallback)        XP SP1 SRV2003    蓝屏后DUMP生成通知,可写入额外1-PAGE信息    
                
FsRtlRegisterFileSystemFilterCallbacks        XP    文件系统或过滤驱动回调,一般由I/o Manager,VM及CM发起    
IoRegisterFsRegistrationChange (IoUnregisterFsRegistrationChange)        所有    文件系统注册事件通知回调    WIN2K: 已注册文件系统驱动不再通知;XP: 均会通知
IoRegisterFsRegistrationChangeEx (IoUnregisterFsRegistrationChange)        WIN2K SP4    文件系统注册事件通知回调,忽略RAW设备    同IoRegisterFsRegistrationChange
IoRegisterFsRegistrationChangeMountAware (IoUnregisterFsRegistrationChange)        WIN7    文件系统注册事件通知回调,忽略RAW设备    会额外处理与挂载/Mount的竞争问题
TmEnableCallbacks        VISTA    文件事务操作回调    
                
IoRegisterContainerNotification (IoUnregisterContainerNotification)        WIN7    会话/Session改变通知,如新用户登录或登出,功能类似于用户层的WTSRegisterSessionNotification    
KeRegisterProcessorChangeCallback (KeDeregisterProcessorChangeCallback)        WIN2K    动态CPU添加事件回调    有Pre和Post处理
KeRegisterNmiCallback (KeDeregisterNmiCallback)        SRV2003    发生不可屏蔽中断时的回调通知    
IoRegisterShutdownNotification (IoUnregisterShutdownNotification)        WIN2K    IRP_MJ_SHUTDOWN请求回调    
IoRegisterLastChanceShutdownNotification (IoUnregisterShutdownNotification)        WIN2K    IRP_MJ_SHUTDOWN请求回调    调用时机晚,在文件系统处理完毕之后
PoRegisterPowerSettingCallback (PoUnregisterPowerSettingCallback)        VISTA    电源管理事件响应回调    
IoRegisterPlugPlayNotification (IoUnregisterPlugPlayNotification[Ex])        WIN2K    PNP事件回调(设备热插拔)    
IoWMISetNotificationCallback        XP    WMI事件回调    
                
DbgSetDebugPrintCallback    未公开    VISTA    捕获内核打印事件(DbgPrint)    
IoRegisterPriorityCallback (IoUnregisterPriorityCallback)    未公开    WIN7 SP1 ?    I/O 请求优先级调整    
PoRegisterCoalescingCallback (PoUnregisterCoalescingCallback)    未公开    WIN8.1    CM和文件系统相关:在系统空闲的时候实施cache的聚合刷新    
PsSetLegoNotifyRoutine    未公开    XP    类似TLS,可以实现线程终结时的回调通知
2 应用层回调
应用层回调        OS    功能    备注
LdrRegisterDllNotification (LdrUnregisterDllNotification)        VISTA    可接收进程内DLL模块加载及卸载事件,不可拦截    
ProcessInstrumentationCallback        WIN7    可在程序每次Ring 0至3切换后收到通知,在系统服务调用结束时刻    需要进程注入后主动调用NtSetInformationProcess,需要SeDebugPrivilege等
RegisterServiceCtrlHandler(Ex)        XP    在应用层服务中接收系统事件:设备热插拔、用户登录、电源管理等    
RegisterDeviceNotification        所有    GUI程序获取硬件改变通知    
RegNotifyChangeKeyValue        WIN2K    监控注册表指定键的子键及值的改变    
ReadDirectoryChange        所有    监控指定目录中的文件及子目录的变化    
AddSecureMemoryCacheCallback (RemoveSecureMemoryCacheCallback)        VISTA SP1    可监控Secure类型的共享内存的释放    
LdrSetDllManifestProber    未公开    XP    可收到DLL模块加载事件,可用于拦截    
LdrInitShimEngineDynamic    未公开    WIN7    可接收Shim Engine通知,可接管DLL加载等    调用时机有要求,需要R3 HOOK; 不同Windows版本如WIN7及8.1差别较大
RtlSetThreadPoolStartFunc    未公开    WIN2K    设置线程初始化及退出函数,kernel32内部使用

3 通用回调的限制

Windows系统虽然提供了回调接口,但因为性能等各种因素的原因还会限定回调的数量:

    CmRegisterCallback限制为最多100个,无高度号设置,后注册的回调可能收不到请求
    PsSetLoadImageNotifyRoutine限制为最多8个,64位系统共64个
    PsSetCreateProcessNotifyRoutine限制为最多8个
    PsSetCreateThreadNotifyRoutine限制为最多8个

不少驱动安装为了防止注册失败的情况选择了尽早启动并完成相关回调的注册,也有一些工具如PcHunter会通过DKOM方式进行动态扩展。

另外不同的OS版本的支持限制,在上表中也有说明,如Vista之后的Windows系统才开始支持注册表事务操作,这部分在使用中也要注意,Ob Callback也有类似的问题。
————————————————
版权声明:本文为CSDN博主「ThatAllOver」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/zzy1448331580/article/details/118325401

龙行天下01
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java中的回调机制,这篇给你整的明明白白的
bishe_teacher的博客
06-13 154
Java中的回调机制,这篇给你整的明明白白的 调用和回调机制 在一个应用系统中, 无论使用何种语言开发, 必然存在模块之间的调用, 调用的方式分为几种: 1.同步调用 Java中的回调机制,这篇给你整的明明白白的 同步调用是最基本并且最简单的一种调用方式, 类A的方法a()调用类B的方法b(), 一直等待b()方法执行完毕, a()方法继续往下走. 这种调用方式适用于方法b()执行时间不长的情况, 因为b()方法执行时间一长或者直接阻塞的话, a()方法的余下代码是无法执行下去的, 这样会造成整个流程的阻塞
枚举系统映像回调跟Phunt一样
05-29
枚举系统回调,进程回调,线程回调,关机回调,错误回调,映像回调,适用于win7-win10 x86-x64
系统回调介绍
06-13 434
这个BugCheckCallback每当系统发出错误检查时,都会执行例程。 这个KBUGCHECK_次要转储数据结构描述了一段驱动程序提供的数据,这些数据由KbCallbackSecdaryDumpData例程写入崩溃转储文件。 使用   设置 PspNotifyEnableMask 为 0 CreateProcess CreateThread LoadImage 回调函数都不会起作用 ...
注册关机通知
qq_41490873的博客
08-21 646
处理IRP_MJ_SHUTDOWN irp回调 ,还需要调用IoRegisterShutdownNotification函数来关联设备.就可以成功的注册关机通知了. #include "LoadFirst.h" VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject) { KdPrint(("驱动卸载成功\n")); } NTSTATUS DispatchShutDown(PDEVICE_OBJECT pDeviceObject,PIRP pIrp) {
注册IRP_MJ_SHUTDOWN事件 基于ReactOS0303
lixiangminghate的专栏
05-21 4126
系统关闭时,会向注册SHUTDOWN事件的设备驱动发送IRP_MJ_SHUTDOWN事件。 NTSTATUS STDCALL NtShutdownSystem(IN SHUTDOWN_ACTION Action) { if (Action > ShutdownPowerOff) return STATUS_INVALID_PARAMETER; Status = PsCre
贺兰_通用对话框 Ver 1.0.2
11-16
' 功 能:不使用控件,对Windows通用对话框进行自定义,核心包括一个封装的类和两个模块。 [更新历史] ◆ Ver 1.0.2 开发时间:2008-09-24 09:27 ~ 2008-09-24 12:04 ' 1、修正了没有设置预览或程序标志图片框时,对话框位置无法调整的问题; ' 2、增加了图片预览按比例显示,并显示图片宽x高和预览比例。 ' 3、增加参考资料:VB 取得图片大小 ◆ Ver 1.0.1 开发时间:2008-09-21 17:17 ~ 2008-09-22 17:41 ' 1、增加了字体对话框(预览时,几个下拉框要双击才能立即见到改变,字体颜色无法预览); ' 2、增加了颜色对话框 ' 特别注意:上面的两个对话框没有经过仔细的测试,可能使用时会遇到未知的问题! ' 注意:源代码(贺兰_通用对话框 Ver 1.0.1.rar)中不含参考资料和3张图片,若需要,请参考 Ver 1.0.0 ◆ Ver 1.0.0 开发时间:2008-09-16 15:17 ~ 2008-09-21 16:09 ' CCommonDialog.cls ' 功 能:使用 Windows 通用对话框,如下: ' 0、文件属性对话框 ' 1、打开对话框(可以提供某些文件预览) ' 2、保存对话框 ' 3、字体对话框(预览?) ' 4、颜色对话框 ' Ver 1.0.0 版本,只实现了0、1、2功能,3、4功能以后再做。因为一般打开、保存对话框用得多。 ' MDrawWaves.bas ' 功 能:给定一个Wave文件,画出其波形。 ' MCDHook.bas ' 功 能:对话框预览核心模块,实现回调函数,消息截取处理和其他功能。 ' 注 意:它里面的变量、函数等,一般不需要在外部调用,所有功能基本封装在 CCommonDialog 类中。 ' frmMain.frm ' 程序主窗体,演示 CCommonDialog 类的各种属性和方法。 还包括以下参考资料: CommonDialog Enhanced Callback PaintPicture VB API创建窗口控件 播放.WAV文件,并显示其波形 打开对话框中选多文件 使用API创建Windows窗口控件 用API实现WINDOWS下的通用对话框 用MCI命令来实现多媒体的播放功能 增强型打开_保存对话框类 自定义系统的打开对话框 wave格式详解.txt 常见的影音及图片文件后缀名(按字母顺序排列).txt 利用MFC的CFileDialog生成Windows2000文件对话框.txt 音频文件常见后缀.txt 自定义VB系统控件.txt
回调函数 windows系统的消息与事件
09-09
回调函数 windows系统的消息与事件
API监听Dll的加载/卸载消息
06-06
本程序调用LdrRegisterDllNotification实现,详见MSDN:LdrUnregisterDllNotification 函数。本程序可以监控Dll的加载/卸载事件。例如本程序可以利用本程序实现反Dll注入。其他功能可自行拓展。
LdrSetDllManifestProber监视本程序Dll加载
ChinaPrc
02-25 470
类型定义 typedef NTSTATUS( NTAPI * PLDR_MANIFEST_PROBER_ROUTINE ) ( IN HMODULE DllBase, IN PCWSTR FullDllPath, OUT PHANDLE ActivationContext ); typedef NTSTATUS( NTAPI * PLDR_ACTX_LANGUAGE_ROURINE ...
1.1 回调机制(Call back)
热门推荐
yqj2065的博客
10-28 1万+
一门编程语言,使得下层模块/库可以调用(或执行)上层模块定义的代码的机制,即为回调(call back,一个动词词组)机制。而上层模块所定义的、被(下层模块)调用的代码,则被称为回调函数 (简称回调、callback,一个名词)。
jdk-10.0.1_windows-x64bit CSDN下载
05-17
JDK 10 的主要功能包括: 一个局部变量类型推断,...线程本地握手,不执行全局 VM 安全点也能对线程执行回调,同时实现单线程停止回调。 JDK 提供了一组默认证书,开源 Java SE 的 CA程序,对开发人员更具吸引力。
windows驱动开发技术详解-part2
07-06
 通用操作系统硬件驱动程序的开发,编写者不仅需要精通硬件设备、计算机总线,而且需要Windows 操作系统知识以及调试技巧。学习和掌握Windows硬件驱动程序的开发是电子系统设计人员必备的能力。  本书是作者结合...
delphi通用函数单元一
08-19
{* 查找指定目录下文件的回调函数} procedure FindFile(const Path: string; const FileName: string = '*.*'; Proc: TFindCallBack = nil; bSub: Boolean = True; const bMsg: Boolean = True); {* 查找指定目录...
Windows驱动开发技术详解的光盘-part1
07-06
 通用操作系统硬件驱动程序的开发,编写者不仅需要精通硬件设备、计算机总线,而且需要Windows操作系统知识以及调试技巧。学习和掌握Windows硬件驱动程序的开发是电子系统设计人员必备的能力。  本书是作者结合...
【内核篇】Windows内核重要变量
weixin_30888707的博客
12-15 263
====================================================== LIST_ENTRYPsLoadedModuleList; [定 义] wrk\wrk-v1.2\base\ntos\mm\Sysload.c [初始化] wrk\wrk-v1.2\base\ntos\mm\Sysload.c [MiInitializeLoadedM...
跟踪Native API函数调用
04-25 1050
  跟踪Native API函数调用序言我们来研究一样非常有用的东西。我甚至要说,在某些情况下,离了它是寸步难行的,而且它能让我们对Windows的内部机制有个很好的认识。是的,本文的题目已经是不新鲜的已经被讲滥了的东西了。在这方面有众多的文章甚至是专著,作者也都是著名的专家,像Jeferry Ritcher
内核驱动的文件操作
09-17 2993
在内核驱动中创建文件,并进行读写。用于保存驱动运行中的信息。方式:可以用两种方式实现该操作。1、 在应用程序中创建文件,驱动运用IOCTL将信息传给应用层,应用程序对文件进行读写。Tdi_fw就是利用这种方式来记录驱动过滤信息,Tdi_fw的应用程序创建一个线程,循环利用IOCTL来读取驱动信息,并保存到文件。2、 在驱动中完成所有的这些操作。在这里我们主要讨论这种方式。实现:利用ZwCr
STM32通用定时器中断回调函数
最新发布
09-15
在STM32中,通用定时器的中断回调函数通常是在定时器溢出时执行的。根据不同的定时器,中断回调函数的命名可能会有所不同,但一般遵循以下规则: 1. 配置定时器和中断: 首先,需要配置定时器的时钟源、预分频器、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值