在笔者上一篇文章《内核枚举Registry注册表回调》中我们通过特征码定位实现了对注册表回调的枚举,本篇文章LyShark将教大家如何枚举系统中的ProcessObCall进程回调以及ThreadObCall线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体_OB_CALLBACK以及_OBJECT_TYPE所以放在一起来讲解最好不过。

进程与线程ObCall回调是Windows操作系统提供的一种机制,它允许开发者在进程或线程发生创建、销毁、访问、修改等事件时拦截并处理这些事件。进程与线程ObCall回调是通过操作系统提供的回调机制来实现的。

当操作系统创建、销毁、访问或修改进程或线程时,它会触发进程与线程ObCall回调事件,然后在回调事件中调用注册的进程与线程ObCall回调函数。开发者可以在进程与线程ObCall回调函数中执行自定义的逻辑,例如记录日志,过滤敏感数据,或者阻止某些操作。

进程与线程ObCall回调可以通过操作系统提供的回调函数PsSetCreateProcessNotifyRoutine、PsSetCreateThreadNotifyRoutine、PsSetLoadImageNotifyRoutine等来进行注册。同时,进程与线程ObCall回调函数需要遵守一定的约束条件,例如不能阻塞或挂起进程或线程的创建或访问,不能调用一些内核API函数等。

进程与线程ObCall回调在安全软件、系统监控和调试工具等领域有着广泛的应用。

我们来看一款闭源ARK工具是如何实现的:

首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。

typedef struct _OBJECT_TYPE_INITIALIZER

{

    USHORT Length;                // Uint2B

    UCHAR ObjectTypeFlags;            // UChar

    ULONG ObjectTypeCode;             // Uint4B

    ULONG InvalidAttributes;          // Uint4B

    GENERIC_MAPPING GenericMapping;   // _GENERIC_MAPPING

    ULONG ValidAccessMask;       // Uint4B

    ULONG RetainAccess;         // Uint4B

    POOL_TYPE PoolType;        // _POOL_TYPE

    ULONG DefaultPagedPoolCharge;  // Uint4B

    ULONG DefaultNonPagedPoolCharge; // Uint4B

    PVOID DumpProcedure;       // Ptr64     void

    PVOID OpenProcedure;      // Ptr64     long

    PVOID CloseProcedure;     // Ptr64     void

    PVOID DeleteProcedure;        // Ptr64     void

    PVOID ParseProcedure;     // Ptr64     long

    PVOID SecurityProcedure;      // Ptr64     long

    PVOID QueryNameProcedure;     // Ptr64     long

    PVOID OkayToCloseProcedure;     // Ptr64     unsigned char

    ULONG WaitObjectFlagMask;     // Uint4B

    USHORT WaitObjectFlagOffset;    // Uint2B

    USHORT WaitObjectPointerOffset;   // Uint2B

}OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE

{

    LIST_ENTRY TypeList;           // _LIST_ENTRY

    UNICODE_STRING Name;         // _UNICODE_STRING

    PVOID DefaultObject;         // Ptr64 Void

    UCHAR Index;             // UChar

    ULONG TotalNumberOfObjects;      // Uint4B

    ULONG TotalNumberOfHandles;      // Uint4B

    ULONG HighWaterNumberOfObjects;    // Uint4B

    ULONG HighWaterNumberOfHandles;    // Uint4B

    OBJECT_TYPE_INITIALIZER TypeInfo;  // _OBJECT_TYPE_INITIALIZER

    EX_PUSH_LOCK TypeLock;         // _EX_PUSH_LOCK

    ULONG Key;                 // Uint4B

    LIST_ENTRY CallbackList;       // _LIST_ENTRY

}OBJECT_TYPE, *POBJECT_TYPE;

#pragma pack(1)

typedef struct _OB_CALLBACK

{

    LIST_ENTRY ListEntry;

    ULONGLONG Unknown;

    HANDLE ObHandle;

    PVOID ObTypeAddr;

    PVOID PreCall;

    PVOID PostCall;

}OB_CALLBACK, *POB_CALLBACK;

#pragma pack()

代码部分的实现很容易,由于进程与线程句柄的枚举很容易,直接通过(POBJECT_TYPE)(*PsProcessType))->CallbackList就可以拿到链表头结构,得到后将其解析为POB_CALLBACK并循环输出即可。

#include <ntifs.h>

#include <wdm.h>

#include <ntddk.h>

typedef struct _OBJECT_TYPE_INITIALIZER

{

    USHORT Length;                // Uint2B

    UCHAR ObjectTypeFlags;            // UChar

    ULONG ObjectTypeCode;             // Uint4B

    ULONG InvalidAttributes;          // Uint4B

    GENERIC_MAPPING GenericMapping;   // _GENERIC_MAPPING

    ULONG ValidAccessMask;       // Uint4B

    ULONG RetainAccess;         // Uint4B

    POOL_TYPE PoolType;        // _POOL_TYPE

    ULONG DefaultPagedPoolCharge;  // Uint4B

    ULONG DefaultNonPagedPoolCharge; // Uint4B

    PVOID DumpProcedure;       // Ptr64     void

    PVOID OpenProcedure;      // Ptr64     long

    PVOID CloseProcedure;     // Ptr64     void

    PVOID DeleteProcedure;        // Ptr64     void

    PVOID ParseProcedure;     // Ptr64     long

    PVOID SecurityProcedure;      // Ptr64     long

    PVOID QueryNameProcedure;     // Ptr64     long

    PVOID OkayToCloseProcedure;     // Ptr64     unsigned char

    ULONG WaitObjectFlagMask;     // Uint4B

    USHORT WaitObjectFlagOffset;    // Uint2B

    USHORT WaitObjectPointerOffset;   // Uint2B

}OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE

{

    LIST_ENTRY TypeList;           // _LIST_ENTRY

    UNICODE_STRING Name;         // _UNICODE_STRING

    PVOID DefaultObject;         // Ptr64 Void

    UCHAR Index;             // UChar

    ULONG TotalNumberOfObjects;      // Uint4B

    ULONG TotalNumberOfHandles;      // Uint4B

    ULONG HighWaterNumberOfObjects;    // Uint4B

    ULONG HighWaterNumberOfHandles;    // Uint4B

    OBJECT_TYPE_INITIALIZER TypeInfo;  // _OBJECT_TYPE_INITIALIZER

    EX_PUSH_LOCK TypeLock;         // _EX_PUSH_LOCK

    ULONG Key;                 // Uint4B

    LIST_ENTRY CallbackList;       // _LIST_ENTRY

}OBJECT_TYPE, *POBJECT_TYPE;

#pragma pack(1)

typedef struct _OB_CALLBACK

{

    LIST_ENTRY ListEntry;

    ULONGLONG Unknown;

    HANDLE ObHandle;

    PVOID ObTypeAddr;

    PVOID PreCall;

    PVOID PostCall;

}OB_CALLBACK, *POB_CALLBACK;

#pragma pack()

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)

{

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)

{

    NTSTATUS status = STATUS_SUCCESS;

    DbgPrint("hello lyshark \n");

    POB_CALLBACK pObCallback = NULL;

    // 直接获取 CallbackList 链表

    LIST_ENTRY CallbackList = ((POBJECT_TYPE)(*PsProcessType))->CallbackList;

    // 开始遍历

    pObCallback = (POB_CALLBACK)CallbackList.Flink;

    do

    {

        if (FALSE == MmIsAddressValid(pObCallback))

        {

            break;

        }

        if (NULL != pObCallback->ObHandle)

        {

            // 显示

            DbgPrint("[lyshark] ObHandle = %p | PreCall = %p | PostCall = %p \n", pObCallback->ObHandle, pObCallback->PreCall, pObCallback->PostCall);

        }

        // 获取下一链表信息

        pObCallback = (POB_CALLBACK)pObCallback->ListEntry.Flink;

    } while (CallbackList.Flink != (PLIST_ENTRY)pObCallback);

    return status;

}

运行这段驱动程序,即可得到进程句柄回调:

当然了如上是进程句柄的枚举,如果是想要输出线程句柄,则只需要替换代码中的PsProcessType((POBJECT_TYPE)(*PsThreadType))->CallbackList即可,修改后的代码如下。

#include <ntifs.h>

#include <wdm.h>

#include <ntddk.h>

typedef struct _OBJECT_TYPE_INITIALIZER

{

    USHORT Length;                // Uint2B

    UCHAR ObjectTypeFlags;            // UChar

    ULONG ObjectTypeCode;             // Uint4B

    ULONG InvalidAttributes;          // Uint4B

    GENERIC_MAPPING GenericMapping;   // _GENERIC_MAPPING

    ULONG ValidAccessMask;       // Uint4B

    ULONG RetainAccess;         // Uint4B

    POOL_TYPE PoolType;        // _POOL_TYPE

    ULONG DefaultPagedPoolCharge;  // Uint4B

    ULONG DefaultNonPagedPoolCharge; // Uint4B

    PVOID DumpProcedure;       // Ptr64     void

    PVOID OpenProcedure;      // Ptr64     long

    PVOID CloseProcedure;     // Ptr64     void

    PVOID DeleteProcedure;        // Ptr64     void

    PVOID ParseProcedure;     // Ptr64     long

    PVOID SecurityProcedure;      // Ptr64     long

    PVOID QueryNameProcedure;     // Ptr64     long

    PVOID OkayToCloseProcedure;     // Ptr64     unsigned char

    ULONG WaitObjectFlagMask;     // Uint4B

    USHORT WaitObjectFlagOffset;    // Uint2B

    USHORT WaitObjectPointerOffset;   // Uint2B

}OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE

{

    LIST_ENTRY TypeList;           // _LIST_ENTRY

    UNICODE_STRING Name;         // _UNICODE_STRING

    PVOID DefaultObject;         // Ptr64 Void

    UCHAR Index;             // UChar

    ULONG TotalNumberOfObjects;      // Uint4B

    ULONG TotalNumberOfHandles;      // Uint4B

    ULONG HighWaterNumberOfObjects;    // Uint4B

    ULONG HighWaterNumberOfHandles;    // Uint4B

    OBJECT_TYPE_INITIALIZER TypeInfo;  // _OBJECT_TYPE_INITIALIZER

    EX_PUSH_LOCK TypeLock;         // _EX_PUSH_LOCK

    ULONG Key;                 // Uint4B

    LIST_ENTRY CallbackList;       // _LIST_ENTRY

}OBJECT_TYPE, *POBJECT_TYPE;

#pragma pack(1)

typedef struct _OB_CALLBACK

{

    LIST_ENTRY ListEntry;

    ULONGLONG Unknown;

    HANDLE ObHandle;

    PVOID ObTypeAddr;

    PVOID PreCall;

    PVOID PostCall;

}OB_CALLBACK, *POB_CALLBACK;

#pragma pack()

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)

{

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)

{

    NTSTATUS status = STATUS_SUCCESS;

    DbgPrint("hello lyshark \n");

    POB_CALLBACK pObCallback = NULL;

    // 直接获取 CallbackList 链表

    LIST_ENTRY CallbackList = ((POBJECT_TYPE)(*PsThreadType))->CallbackList;

    // 开始遍历

    pObCallback = (POB_CALLBACK)CallbackList.Flink;

    do

    {

        if (FALSE == MmIsAddressValid(pObCallback))

        {

            break;

        }

        if (NULL != pObCallback->ObHandle)

        {

            // 显示

            DbgPrint("[LyShark] ObHandle = %p | PreCall = %p | PostCall = %p \n", pObCallback->ObHandle, pObCallback->PreCall, pObCallback->PostCall);

        }

        // 获取下一链表信息

        pObCallback = (POB_CALLBACK)pObCallback->ListEntry.Flink;

    } while (CallbackList.Flink != (PLIST_ENTRY)pObCallback);

    return status;

}

运行这段驱动程序,即可得到线程句柄回调:

6.9 Windows驱动开发:内核枚举进线程ObCall回调的更多相关文章

  1. X64驱动:内核操作进线程/模块

    注意:下面的所有案例必须使用.C结尾的文件,且必须在链接选项中加入 /INTEGRITYCHECK 选项,否则编译根本无法通过(整合修正,Win10可编译,须在测试模式下进行),内核代码相对固定,如果 ...

  2. 驱动开发:内核枚举进程与线程ObCall回调

    在笔者上一篇文章<驱动开发:内核枚举Registry注册表回调>中我们通过特征码定位实现了对注册表回调的枚举,本篇文章LyShark将教大家如何枚举系统中的ProcessObCall进程回 ...

  3. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  4. 《Windows内核安全与驱动开发》 4.4 线程与事件

    <Windows内核安全与驱动开发>阅读笔记 -- 索引目录 <Windows内核安全与驱动开发> 4.4 线程与事件 一.开辟一个线程,参数为(打印内容+打印次数),利用线程 ...

  5. 驱动开发:内核枚举Registry注册表回调

    在笔者上一篇文章<驱动开发:内核枚举LoadImage映像回调>中LyShark教大家实现了枚举系统回调中的LoadImage通知消息,本章将实现对Registry注册表通知消息的枚举,与 ...

  6. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  7. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  8. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  9. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  10. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

随机推荐

  1. 如何在传统前端项目中进行javascript模块化编程,并引入使用vue.js、element-ui,并且不依赖nodejs和webpack?

    最近接手一个Web三维项目,前后端分离,前端是传统的前端项目,但又是模块化的开发方式,在修改的过程中,我需要做一些增删改查的功能,又想尽可能少的写css.尽可能少的直接操作DOM元素,所以引入了ele ...

  2. AcWing 第 2 场周赛

    比赛链接:Here AcWing 3626. 三元一次方程 暴力即可 void solve() { int n; cin >> n; for (int i = 0; i <= n / ...

  3. Spring七种事务传播行为与五种事务隔离级别

    一.事务的传播行为:通过Propagation定义: <!-- 配置事务通知 --><tx:advice id="txAdvice" transaction-ma ...

  4. 重磅发布丨从云原生到 Serverless,先行一步看见更大的技术想象力

    (2022 云原生实战峰会) 2022年12月28日,以"原生万物 云上创新"为主题的第三届云原生实战峰会在线上举行. 会上,阿里云提出激活企业应用构建三大范式,并发布云原生可观测 ...

  5. vue动态组件使用

  6. C#设计模式14——模板方法的写法

    模板方法(Template Method)是一种设计模式,它定义了一个操作中的算法的骨架,将某些步骤推迟到子类中实现,从而使得子类可以在不改变算法骨架的情况下重新定义算法的某些步骤. 作用: 使用模板 ...

  7. Cortex-M3 MCU的技术特点

    1.Cortex-M3 MCU的技术特点 MCU简单来说就是一个可编程的中央处理器(CPU)加上一些必要的外设.不管是中央处理器还是整个MCU都是复杂的时序数字电路,根据程序或者指令来完成特定的任务. ...

  8. [javaee] - tomcat 下载和配置环境变量

    以tomcat9为例 第一步 :下载到本地并解压文件 解压后: 第二步:配置环境变量,在系统变量中添加  CATALINE_HOME  ,路径为tomcat的目录 启动tomcat , 启动之后不要关 ...

  9. SpringMVC02——第一个MVC程序-配置版(low版)

    配置版 新建一个子项目,添加Web支持![在MVC01中有详细方法] 确定导入了SpringMVC的依赖 配置web.xml,注册DispatcherServlet <?xml version= ...

  10. [转帖]《Linux性能优化实战》笔记(二)—— CPU 上下文切换(上)

    上一篇的最后一个例子,在多个进程竞争CPU时,我们看到每个进程实际上%usr部分只有20%多,70%多是在wait,但是load远远高于单个进程使用CPU达到100%. 这让我想到之前看的RWP公开课 ...