利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]

最新推荐文章于 2024-06-20 14:15:00 发布
最新推荐文章于 2024-06-20 14:15:00 发布
阅读量9.2k 收藏 12
点赞数 3
分类专栏: 驱动学习 文章标签: 进程保护 x64进程保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292611
版权
本文探讨了x64环境下利用ObRegisterCallbacks进行进程保护的原理,并介绍了如何通过修改线程对象中SupportsObjectCallbacks字段来绕过这种保护。文章提到,单纯依赖SSDT Hook在x64系统中已无法有效保护进程,ObRegisterCallbacks成为一种选择。作者分享了论坛上的突破方法,包括设置对象类型回调中的特定字段,以限制对目标进程的访问权限。
摘要由CSDN通过智能技术生成

写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次

这里附上新的突破方法 我已经我写的时候已经写上了

今天发到博客的时候才发现没写,来补上

可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊

http://www.mengwuji.net/forum.php?mod=viewthread&tid=2323&page=1

简单说下就是讲线程对象中的SupportsObjectCallbacks域置0

随便说一说 一字节anti创建进程线程等回调 这个不是我知道的,这是论坛一哥们发的

http://www.mengwuji.net/forum.php?mod=viewthread&tid=2498&page=1

需要注意的是梦老大的留言

然后我搜了搜论坛

看到老大说了

PspNotifyEnableMask这个可以控制的,其中第0位代表是否开启模块回调,第一位代表是否开启进程回调(调用PsSetCreateProcessNotifyRoutine设置的情况),第二位代表是否开启进程回调(调用PsSetCreateProcessNotifyRoutineEx设置的情况),第三位代表是否开启线程回调。

如果你想让进程回调失效,就把PspNotifyEnableMask的第一位和第二位设置为零就行了,只是这样做所有的进程回调就会失效,不过也无所谓啦

那它到底控制多少呢?IDA一看就知道了

方向 种类 地址                                  文本                                
---- ---- ----                                  ----                                
上   r    PspExitProcess+55                     mov     ebp, cs:PspNotifyEnableMask 
上   r    PspExitProcess+5B                     mov     eax, cs:PspNotifyEnableMask 
上   r    PspExitThread+BE                      mov     eax, cs:PspNotifyEnableMask 
上   r    PspInsertThread+3B0                   mov     r11d, cs:PspNotifyEnableMask
上   r    PspInsertThread+4A6                   mov     ecx, cs:PspNotifyEnableMask 
上   r    PspInsertThread+4B6                   mov     eax, cs:PspNotifyEnableMask 
上   r    DbgkCreateThread:loc_14036BD05        mov     ecx, cs:PspNotifyEnableMask 
上   r    MiMapViewOfImageSection:loc_1403990D6 mov     eax, cs:PspNotifyEnableMask 
上   r    PsCallImageNotifyRoutines+2C          mov     eax, cs:PspNotifyEnableMask 
上   r    MmLoadSystemImage+250                 mov     eax, cs:PspNotifyEnableMask 
上   r    PsSetLoadImageNotifyRoutine+55        mov     eax, cs:PspNotifyEnableMask 
上   w    PsSetLoadImageNotifyRoutine+5F        lock bts cs:PspNotifyEnableMask, 0  
上   r    PsSetCreateThreadNotifyRoutine+55     mov     eax, cs:PspNotifyEnableMask 
上   w    PsSetCreateThreadNotifyRoutine+5F     lock bts cs:PspNotifyEnableMask, 3  
     r    PspSetCreateProcessNotifyRoutine+1BB  mov     eax, cs:PspNotifyEnableMask 
下   w    PspSetCreateProcessNotifyRoutine+1C5  lock bts cs:PspNotifyEnableMask, 1  
下   r    PspSetCreateProcessNotifyRoutine+1D7  mov     eax, cs:PspNotifyEnableMask 
下   w    PspSetCreateProcessNotifyRoutine+1E1  lock bts cs:PspNotifyEnableMask, 2
大概看一下是创建进线程回调,模块加载回调,很多都是重复,那么就是sub


众所周知如果不patch DSE KPP 是不能在x64下进程SSDT HOOK的,那以前x86保护进程都是SSDT HOOK NtOpenprocess 保护线程HOOK NtOpenThread 很有游戏保护也是这么做的到了x64,这样的作法是不可行的,那么如何保护进程呢,微软给我们提供了一个API ObRegisterCallbacks 注册一个Object回调

先看下原型:
  1. NTSTATUS 
  2.   ObRegisterCallbacks(
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
手把手带你 YOLOv5/v7 添加注意力机制(并附上30多种顶会Attention原理图)2024/2/5更新
YOLOv8项目贡献者
04-27 18万+
YOLOv5/v7 添加注意力机制教程 2023/6/15更新🍀🍀🍀
Win7 x64进程保护与文件保护(ObRegisterCallbacks)
weixin_30732825的博客
05-07 518
进程保护部分参考http://bbs.pediy.com/showthread.php?t=168023 进程保护,在任务管理器不能结束进程 #ifndef CXX_PROTECTPROCESSX64_H #define CXX_PROTECTPROCESSX64_H #include <ntifs.h> #define PROCESS_TERMINATE ...
ObRegisterCallbacks
weixin_30627381的博客
06-25 218
ObRegisterCallbacks 转载于:https://www.cnblogs.com/kb505/p/7077593.html
利用NtDuplicateObject进行Dump
最新发布
2401_84466225的博客
06-20 988
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)这是国外老哥2020年提出的一种蛮有意思的思路。我们先来看看大致的思路是什么样子的,然后来看看一些需要学习的点。首先我们需要获得调式权限(SeDebugPrivilege)然后我们使用NtQuerySystemInformation生成所有进程打开的所有句柄利用OpenProcess打开句柄,赋予PROCESS_DUP_HANDLE权限。
探索libelevate:突破ObRegisterCallbacks的限制
gitblog_00009的博客
05-26 391
探索libelevate:突破ObRegisterCallbacks的限制 项目地址:https://gitcode.com/notscimmy/libelevate 在这个安全与隐私日益重要的时代,开源项目libelevate提供了一种独特的方式来应对恶意软件对系统内存的非法访问。这个项目旨在绕过ObRegisterCallbacks机制,使得对抗病毒和作弊行为的方法更为有效。让我们深入了解li...
教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
whatday的专栏
10-31 1万+
我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题: (1)怎么样在64位的Windows7操作系统下实现进程保护?  (2)我在网络上搜索了很多天,我根本就找不到64位进程保护的文章啊! (3)公司的项目很急,领导让我实现64位系统下的进程保护,这要怎么做啊? (4)
ObRegisterCallbacks的运用
sanqiuai的博客
08-05 5036
ObRegisterCallbacks()有什么用? 继从Windows Vista以后的64位系统都PG(PatchGuard)的存在,所以应用程序不能随意的通过 HOOK SSDT 等方式来修改内核,因为会触发 PatchGuard 保护造成蓝屏。所以现在的64系统的程序通过内核函数ObRegisterCallbacks来实现对自身的保护 。 本文不会介绍原理之类的,其内部实现可以使用IDA工具查看其反汇编代码,另外,该函数不能运行在XP环境下,且需要在驱动中调用,应用层的程序是调用不了的,并且,如今的
【愚公系列】2024年03月 《AI智能化办公:ChatGPT使用方法与技巧从入门到精通》 029-ChatGPT 的设计应用(平面设计)
时光隧道
03-23 5万+
当涉及到平面设计时,关键词可以涵盖设计风格、色彩搭配、排版方式、图形元素等方面。设计风格:简约现代、复古怀旧、艺术创意、抽象风格、卡通插画、极简主义、流行文化、传统文化色彩搭配:明快色调、渐变色彩、对比色搭配、单色调设计、黑白灰设计、暖色调、冷色调排版方式:字体选择、文字排列、层次感设计、对齐方式、间距控制、字号变化、段落样式图形元素:几何图形、自然元素、抽象图案、插图设计、线条风格、纹理样式、装饰性图案。
【愚公系列】2024年03月 《AI智能化办公:ChatGPT使用方法与技巧从入门到精通》 007-ChatGPT的基本操作与提问技巧(如何与ChatGPT聊天)
热门推荐
时光隧道
03-07 5万+
下面我们通过一个例子来感受如何与ChatGPT聊天,相信这个例子可以帮助读者更好地理解ChatGPT的回答方式、如何有效地提出问题,以及如何对它进行引导。
Spring Boot进阶(35):如何优雅地利用mybatis-plus判断参数是否为空并用作查询条件?一招让你的代码更简洁!
**My Coding Family**
08-06 4万+
mybatis-plus 如何优雅判断参数是否为空并作为查询条件?一文教你搞定
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动及驱动注册回调,可过TP双击调试
X64利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 5534
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
ObRegisterCallbacks注册句柄操作回调与进程保护
weixin_42969457的博客
01-10 1275
简单记录下ObRegisterCallbacks的基本用法,以及如何用该方法控制内核对象的权限,加深一下自己的理解,也希望帮助看到的人少走这方面的弯路。
memcpy 结构体_逆向ObRegisterCallbacks 分析回调表结构
weixin_39959192的博客
11-19 214
题外话1. 因为本人水平有限,某些地方写的可能是错的,也请各位大佬指正,不胜感激。2. 为什么要发这个帖子?① 因为后期如果我们想对进程线程搞一些事情的话,需要了解 ObRegisterCallbacks表的结构。② 当我去查ObRegisterCallbacks表结构资料的时候,全网搜了半小时,也没找到啥能用的,当然这可能是我搜索的姿势不对。正文用到的文件:win7 sp1 x64 内...
基于ObRegisterCallbacks实现的线程和进程监控及其保护
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
02-23 3298
要实现监控系统线程和进程,并实现对指定线程和进程保护,在 32 位系统上可以使用 HOOK 技术,HOOK 相关的函数来实现。但是,到了 64 位平台上,就不能继续按常规的 HOOK 方法去实现了。 好在 Windows 给我们提供了 ObRegisterCallbacks 内核函数来注册系统回调,可以用来注册系统线程回调,监控系统的线程创建、退出等情况,而且还能进行控制;也可以用来注册系统进程回调,可以监控系统的进程创建、退出等情况,而且也能进行控制。这使得我们实现保护指定线程、进程不被结束,提供了可
逆向分析ObRegisterCallbacks学习回调结构
weixin_44356908的博客
11-30 1691
首先调用ObRegisterCallbacks,查看所形成的结构是怎么样的。 OB_CALLBACK_REGISTRATION ObCallBack = { 0 }; OB_OPERATION_REGISTRATION ObOperation = { 0 }; ObCallBack.Version = ObGetFilterVersion(); ObCallBack.OperationRegistrationCount = 1; ObCallBack.RegistrationContext
总结一下ObRegisterCallbacks绕过
zhuhuibeishadiao
10-18 5384
1.物理Section Map到用户空间 解析物理地址操作内存 2.修改PsProcessType/PsThreadType下_OBJECT_TYPE_INITIALIZER下RetainAccess为0x1fffff 无视抹权限 原理见ObpPreInterceptHandleCreate ObpPreInterceptHandleCreate(PVOID Object, unsigned _...
详细解释一下分数间隔盲均衡,并附上公式说明及算法更新方法
06-07
分数间隔盲均衡(Fractional Spaced Blind Equalization,FSBE)是一种用于数字通信中信道均衡的算法,其主要思想是将接收信号与一组滤波器进行卷积,通过调整滤波器的系数来实现信道均衡。FSBE算法的主要优点是能够在不知道信道传递函数的情况下进行盲均衡,同时具有较高的鲁棒性和适应性。 FSBE算法的公式如下: $$\hat{s}(nT) = \sum_{i=0}^{N-1}w_i r(n-iM)$$ 其中,$\hat{s}(nT)$表示均衡后的信号,$r(nT)$表示接收信号,$w_i$表示滤波器的系数,$N$表示滤波器的长度,$M$表示分数间隔(Fractional Spacing)。 算法更新方法如下: 1. 初始化滤波器系数为$w_i=0$; 2. 对于每个时刻$n$,计算均衡后的信号$\hat{s}(nT)$; 3. 计算误差信号$e(nT)=\hat{s}(nT)-r(nT)$; 4. 更新滤波器系数$w_i$: $$w_i = w_i - \mu e(n-iM)r^*(n-iM)$$ 其中,$\mu$表示步长(Step Size),$^*$表示共轭。更新滤波器系数的公式采用最小均方误差准则,根据误差信号的大小和方向来调整滤波器系数,从而实现逐步优化均衡效果。 需要注意的是,FSBE算法的性能与滤波器长度$N$和分数间隔$M$密切相关,通常需要通过实验和仿真来确定最优的参数组合。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值