ObRegisterCallbacks返回0xC0000022(拒绝访问)解决方案

最新推荐文章于 2023-11-13 20:45:27 发布
最新推荐文章于 2023-11-13 20:45:27 发布
阅读量2.6k 收藏
点赞数

https://bbs.pediy.com/thread-140891.htm 首先尊重原创

最近写驱动,发现ObRegisterCallbacks这个总是函数调用不成功,在网上查了一下,发现使用这个函数对驱动有特殊的要求,必须使用特殊的签名才行!否则这个函数会返回0xC0000022(拒绝访问),逆向此函数可以看到以下是有关是否加签名的判断,

PAGE:00000001404AA75D                 call    MmVerifyCallbackFunction
PAGE:00000001404AA762                 cmp     eax, ebx
PAGE:00000001404AA764                 jz      short loc_1404AA7E1
PAGE:00000001404AA766
PAGE:00000001404AA766 loc_1404AA766:                          ; CODE XREF: ObRegisterCallbacks+11Bj
PAGE:00000001404AA766                 mov     rcx, [rsi+rbp+18h]
PAGE:00000001404AA76B                 cmp     rcx, rbx
PAGE:00000001404AA76E                 jz      short loc_1404AA779
PAGE:00000001404AA770                 call    MmVerifyCallbackFunction
PAGE:00000001404AA775                 cmp     eax, ebx
PAGE:00000001404AA777                 jz      short loc_1404AA7E1

开发调试时可以将
PAGE:00000001404AA764                 jz      short loc_1404AA7E1
PAGE:00000001404AA76E                 jz      short loc_1404AA779
这两行改为nop暂时使ObRegisterCallbacks调用成功,方便开发调试和暂时没签名的朋友

ObRegisterCallbacks这个函数是在Vista sp1之后的版本中添加的,可用来监控系统中对进线程句柄的操作,如打开进程、复制线程句柄等。

(这个问题是在注册驱动回调函数对进程添加保护的时候遇到的,标记一下,谢谢分享)

yufengly1984
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9207
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
Win64 驱动内核编程-14.回调监控文件
天使也掉毛
03-12 3679
回调监控文件     使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视。但可惜只能在 WIN7X64 上用。因为在 WIN7X64 上 PATCH 对象结构的成员(ObjectType->TypeInfo.SupportsObjectCallbacks)是合法的,在 WIN8X64 以及之后系统上会触发 PATCHGUARD。
ObRegisterCallbacks()返回0xC0000022拒绝访问)解决办法
qq_41252520的博客
11-13 318
在开发测试环境下,没有打签名的驱动调用ObRegisterCallbacks会返回0xC0000022拒绝访问)的错误码。这是由于该函数内部会进行驱动的签名校验。因此可以用以下代码绕过该检查。
Win764位系统下使用ObRegisterCallbacks内核函数来实现进程保护
r250414958的博客
11-16 931
先发代码 参考了: https://bbs.pediy.com/thread-200048.htm forwardbob https://bbs.pediy.com/thread-168023-1.htm tianhz http://www.cnblogs.com/aliflycoris/p/5468175.html LycorisGuard 这三位大牛的代码以及原理 #ifndef C...
ObRegisterCallbacks的运用
sanqiuai的博客
08-05 4834
ObRegisterCallbacks()有什么用? 继从Windows Vista以后的64位系统都PG(PatchGuard)的存在,所以应用程序不能随意的通过 HOOK SSDT 等方式来修改内核,因为会触发 PatchGuard 保护造成蓝屏。所以现在的64系统的程序通过内核函数ObRegisterCallbacks来实现对自身的保护 。 本文不会介绍原理之类的,其内部实现可以使用IDA工具查看其反汇编代码,另外,该函数不能运行在XP环境下,且需要在驱动中调用,应用层的程序是调用不了的,并且,如今的
Windows10 1903错误0xc0000135解决方案【推荐】
09-29
在本文中,我们将深入探讨Windows 10 1903版出现的错误0xc0000135的问题,以及如何通过简单的步骤来解决这个问题。错误0xc0000135通常出现在尝试运行依赖于.NET Framework的应用程序时,系统未能找到必要的组件。...
应用程序无法正常启动0xc0150002 解决方案
01-27
当遇到0xc0150002错误时,有几种可能的解决方案: 1. **重新安装Visual C++ Redistributable**:首先,你可以尝试下载并安装对应的Microsoft Visual C++ Redistributable包,特别是2005版的。这将确保所有必要的...
应用程序无法正常启动0xc000007b解决办法
12-13
总的来说,0xc000007b错误可以通过一系列排查和修复步骤来解决,关键在于找出问题的根本原因。在处理过程中,用户应保持耐心,并逐步尝试不同的解决方案。如果问题复杂,建议寻求专业人士的帮助。
Dell XC系列超融合基础架构解决方案.pdf
10-12
Dell XC系列超融合基础架构解决方案是Dell与Nutanix合作推出的创新产品,旨在帮助企业构建现代化、高效能的数据中心。这种解决方案集成了计算、存储和网络资源,以软件定义的方式提供灵活、可扩展和高性能的IT基础...
ObRegisterCallbacks注册句柄操作回调与进程保护
weixin_42969457的博客
01-10 1195
简单记录下ObRegisterCallbacks的基本用法,以及如何用该方法控制内核对象的权限,加深一下自己的理解,也希望帮助看到的人少走这方面的弯路。
驱动级杀进程易语言源码
12-15
易语言驱动级杀进程源码带驱动,除驱动外还有N种方法,都是在没有恢复SSDT下完成的.如果恢复了SSDT,进程就像豆腐般脆弱.
绕过ObRegisterCallbacks需要驱动签名方法
如鹿渴慕泉水的专栏
06-22 503
内核ob函数
打开edge,出现错误代码: STATUS_ACCESS_DENIED,解决方法
热门推荐
m0_59304996的博客
03-16 2万+
打开edge,出现错误代码: STATUS_ACCESS_DENIED,解决方法
应用程序正常初始化(0xc0000022)失败 的解决方案(zt)
cxin917的专栏
01-11 1万+
运行cmd 输入for %1 in (%windir%/system32/*.dll) do regsvr32.exe /s %1 远行后等dll文件全部注册完成就关闭可以了后重新启动
教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
D_R_L_T的博客
04-02 1086
原文链接:https://bbs.pediy.com/thread-168023.htm我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题:(1)怎么样在64位的Windows7操作系统下实现进程保护? (2)我在网络上搜索了很多天,我根本就找不到64位进程保护的文章啊!(3)...
X64下利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 5335
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程的保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
内核特征码搜索 获取未导出函数
zhuhuibeishadiao
06-19 3735
无聊写了下 有Bug 注意下就好啦~ #include "GetUndocumentFunctionAdress.h" #pragma warning(disable : 4047) PVOID GetCallPoint(PVOID pCallPoint) { ULONG dwOffset = 0; ULONG_PTR returnAddress = 0; LARGE
windows10激活出现0xC0000022
qq_36916968的博客
12-19 2万+
怎么办?不要担心,先找到了C:\Windows\System32\spp\store 文件夹,查看了下它的权限,如没有sppsvc,则手动添加了NT SERVICE\sppsvc 并给完全控制的权限。如果有,这一步直接跳过。 下一步重新打开服务Software Protection。 问题解决了。 注:这种问题的原因是电脑被360流氓软件感染或手动删除系统文件导致。 ...
mysql0xc0000022
最新发布
06-19
MySQL错误0xc0000022通常不是一个直接的错误代码,这个错误看起来像是一个Windows特定的错误,而不是MySQL本身的错误。在Windows系统中,错误代码0xc0000022(十六进制形式)通常表示“无法加载 DLL(动态链接库)”。这可能是由于多种原因,如: - DLL文件丢失或损坏。 - DLL文件所在的路径不正确,或者权限不足。 - 系统依赖的库文件版本不匹配。 - 动态链接过程中的其他系统问题。 当你在运行MySQL时遇到这个错误,可能是因为某个MySQL服务依赖的DLL文件有问题,或者是MySQL服务本身依赖的文件加载失败。为了解决这个问题,你可以尝试以下步骤: 1. 检查MySQL服务相关的DLL文件是否完整,是否被正确地安装和配置在系统路径中。 2. 确保所有必要的Windows更新已经安装。 3. 检查系统日志,以获取更详细的错误信息。 4. 尝试重启计算机,有时候简单的重启就能解决问题。 5. 如果问题依然存在,检查是否有第三方软件冲突,或者尝试卸载最近安装的可能引起问题的软件。 如果你能提供更具体的上下文或错误详细信息,我可以给出更精确的建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值