枚举和移除对象回调

最新推荐文章于 2023-01-13 21:33:04 发布
最新推荐文章于 2023-01-13 21:33:04 发布
阅读量779 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Windows 文章标签: 对象回调
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhaidon1992/article/details/103894898

对象回调是目前绝大多数游戏保护用于保护游戏进程用的回调。
对象回调存储在对应对象结构体里, 简单来说,就是存储在 ObjectType. CallbackList 这个双向链表里。

1: kd> dt _object_type
nt!_OBJECT_TYPE
+0x000 TypeList         : _LIST_ENTRY
+0x010 Name             : _UNICODE_STRING
+0x020 DefaultObject    : Ptr64 Void
+0x028 Index            : UChar
+0x02c TotalNumberOfObjects : Uint4B
+0x030 TotalNumberOfHandles : Uint4B
+0x034 HighWaterNumberOfObjects : Uint4B
+0x038 HighWaterNumberOfHandles : Uint4B
+0x040 TypeInfo         : _OBJECT_TYPE_INITIALIZER
+0x0b0 TypeLock         : _EX_PUSH_LOCK
+0x0b8 Key              : Uint4B
+0x0c0 CallbackList     : _LIST_ENTRY      这个里面的回调函数

按理来说,知道了回调存储的地址,枚举应该就很简单了。 但是只有一个链表能知道什
么? 对象回调至少有三个关键信息: PreCall 函数地址, PostCall 函数地址, 回调句柄。 这些
信息藏在哪里呢?当年我对此感到百思不得其解。 后来经过研究, 发现秘密就藏在
CallbackList 的第二项以及之后。 换句话说,在 ListHead->Flink 以及之后大有乾坤。
Object.CallbackList->FLink 指向的地址, 是一个结构体链表,_OB_CALLBACK

对象目录是操作系统组织命名对象的一个数据结构, 是由根节点对象ObpRootDirectoryObject维
护的一张哈希数组,而每个数组都会存在一条链表,在链表中可能又存在另一个哈希数组。

引入了对象目录,那么我们清楚了命名对象是通过对象目录管理的,查找也是通过这个数据结
构统一管理的,那么无名对象又是如何查找的呢

_object_header:对象头
_object:对象=对象头地址+0x30

对象结构
OBJECT_HEADER_QUOTA_INFO
OBJECT_HEADER_HANDLE_INFO
OBJECT_HEADER_NAME_INFO
OBJECT_HEADER
Object Body

对象头
nt!_OBJECT_HEADER
+0x000 PointerCount     : Int8B
+0x008 HandleCount      : Int8B
+0x008 NextToFree       : Ptr64 Void
+0x010 Lock             : _EX_PUSH_LOCK
+0x018 TypeIndex        : UChar         // 这个变量表示当前对象头在全局变量ObTypeIndexTable中的索引值,这个变量是一个数组首地址,存储所有的_Object_Type结构 可以查看这个变量 dq nt!ObTypeIndexTable
                                        // win10中这个变量需要计算得到,看winsubsystem pdf
+0x019 TraceFlags       : UChar
+0x01a InfoMask         : UChar
+0x01b Flags            : UChar
+0x020 ObjectCreateInfo : Ptr64 _OBJECT_CREATE_INFORMATION
+0x020 QuotaBlockCharged : Ptr64 Void
+0x028 SecurityDescriptor : Ptr64 Void
+0x030 Body             : _QUAD

#include <ntddk.h>

typedef struct _OB_CALLBACK
{
	LIST_ENTRY	ListEntry;
	ULONG64		Unknown;
	ULONG64		ObHandle;
	ULONG64		ObjTypeAddr;
	ULONG64		PreCall;
	ULONG64		PostCall;
} OB_CALLBACK, *POB_CALLBACK;

ULONG NtBuildNumber = 0;
ULONG ObjectCallbackListOffset = 0;

BOOLEAN GetVersionAndHardCode()
{
	BOOLEAN b = FALSE;
	RTL_OSVERSIONINFOW	osi;
	osi.dwOSVersionInfoSize = sizeof(RTL_OSVERSIONINFOW);
	RtlFillMemory(&osi, sizeof(RTL_OSVERSIONINFOW), 0);
	RtlGetVersion(&osi);
	NtBuildNumber = osi.dwBuildNumber;
	DbgPrint("NtBuildNumber: %ld\n", NtBuildNumber);
	switch (NtBuildNumber)
	{
	case 7600:
	case 7601:  // 虚拟机是这个 
	{
		ObjectCallbackListOffset = 0xC0;
		b = TRUE;
		break;
	}
	case 9200:
	{
		ObjectCallbackListOffset = 0xC8;	//OBJECT_TYPE.CallbackList
		b = TRUE;
		break;
	}
	case 9600:
	{
		ObjectCallbackListOffset = 0xC8;	//OBJECT_TYPE.CallbackList
		b = TRUE;
		break;
	}
	default:
		break;
	}
	return b;
}

ULONG EnumObCallback()
{
	ULONG c = 0;
	PLIST_ENTRY CurrEntry = NULL;
	POB_CALLBACK pObCallback;
	BOOLEAN IsTxCallback;
	GetVersionAndHardCode();
	ULONG64 ObProcessCallbackListHead = *(ULONG64*)PsProcessType + ObjectCallbackListOffset;
	ULONG64 ObThreadCallbackListHead = *(ULONG64*)PsThreadType + ObjectCallbackListOffset;
	//
	DbgPrint("ObProcessCallbackListHead: %p\n", ObProcessCallbackListHead);
	CurrEntry = ((PLIST_ENTRY)ObProcessCallbackListHead)->Flink;	//list_head的数据是垃圾数据,忽略
	do
	{
		pObCallback = (POB_CALLBACK)CurrEntry;
		if (pObCallback->ObHandle != 0)
		{
			DbgPrint("ObHandle: %p\n", pObCallback->ObHandle);
			DbgPrint("PreCall: %p\n", pObCallback->PreCall);
			DbgPrint("PostCall: %p\n", pObCallback->PostCall);
			c++;
		}
		CurrEntry = CurrEntry->Flink;
	} while (CurrEntry != (PLIST_ENTRY)ObProcessCallbackListHead);
	//
	DbgPrint("ObThreadCallbackListHead: %p\n", ObThreadCallbackListHead);
	CurrEntry = ((PLIST_ENTRY)ObThreadCallbackListHead)->Flink;	//list_head的数据是垃圾数据,忽略
	do
	{
		pObCallback = (POB_CALLBACK)CurrEntry;
		if (pObCallback->ObHandle != 0)
		{
			DbgPrint("ObHandle: %p\n", pObCallback->ObHandle);
			DbgPrint("PreCall: %p\n", pObCallback->PreCall);
			DbgPrint("PostCall: %p\n", pObCallback->PostCall);
			c++;
		}
		CurrEntry = CurrEntry->Flink;
	} while (CurrEntry != (PLIST_ENTRY)ObThreadCallbackListHead);
	DbgPrint("ObCallback count: %u\n", c);
	return c;
}


/*

对付对象回调方法
1.用ObUnRegisterCallbacks传入ObHandle注销回调
2.把记录的回调函数地址改为自己的设置的空回调
3.给对方设置的回调函数地址写入ret,必须先禁掉PostCall,再禁用PreCall,否则容易蓝屏。

*/

VOID DisableObcallbacks(PVOID Address)
{
	KIRQL irql;
	CHAR patchCode[] = "\x33\xC0\xC3";	//xor eax,eax + ret
	if (!Address)
		return;
	if (MmIsAddressValid(Address))
	{
		irql = WPOFFx64();
		memcpy(Address, patchCode, 3);
		WPONx64(irql);
	}
}

 

大话 回调函数 枚举
思緒凌亂
01-09 1814
一:起因 (1)接着上一篇博客   大话 函数指针 指针函数 (2)对指针的应用是C语言编程的精髓所在,而回调函数就是C语言里面对函数指针的高级应用 (3)回调函数可以实现代码具体实现 功能描述的分开,可以实现代码的重用性,特别是代码的可扩展性 (4)要想实现函数与类型无关,就可以借助回调函数就可以达到这个目的,当然也可以通过泛型来实现相应的方法。 (5)使得函数可以作为
Win64 驱动内核编程-30.枚举与删除线程回调
天使也掉毛
04-04 4665
枚举与删除线程回调 进程回调可以监视进程的创建退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。 我们注册的进程回调,会存储在一个名为PspCreateProc...
枚举系统映像回调跟Phunt一样
05-29
枚举系统回调,进程回调,线程回调,关机回调,错误回调,映像回调,适用于win7-win10 x86-x64
Win64 驱动内核编程-33.枚举与删除对象回调
07-04 345
转载:http://www.voidcn.com/article/p-wulgeluy-bao.html 枚举与删除对象回调 对象回调存储在对应对象结构体里,简单来说,就是存储在ObjectType.CallbackList这 个双向链表里。但对象结构体在每个系统上都不一定相同。比如WIN7X64的结构体如下: ntdll!_OBJECT_TYPE +0x00...
枚举系统中的各种回调
LYSM
06-23 745
请转到以下链接食用 ???? ???? :进程/线程对象回调 ????:注册表回调 ????:模块加载回调 ????:进程创建回调 ???? :线程创建回调
内核枚举LoadImage映像回调移除回调,不卸载驱动的源代码
03-23
### 关于内核中枚举LoadImage回调移除回调的实现 在Windows操作系统中,`PsSetLoadImageNotifyRoutine` 是一个用于注册加载镜像通知回调函数的API。通过此API,开发者可以监控特定DLL或EXE文件的加载过程。然而...
精选_枚举并删除系统上Minifilter回调_源码打包
03-14
这个标题"精选_枚举并删除系统上Minifilter回调_源码打包"涉及到的是如何通过编程手段枚举移除系统中的Minifilter回调函数。这样的技术通常被系统管理员、安全研究人员或驱动开发者用于管理调试系统级过滤操作。...
内核枚举LoadImage映像回调移除指定驱动123.sys的LoadImage映像回调,不卸载123.sys驱动的源代码
03-23
### 关于通过内核枚举LoadImage通知回调移除与特定驱动程序相关的回调 在Windows内核环境中,`LoadImage`通知回调是一种机制,允许开发者监控模块加载事件。要实现仅移除与特定驱动程序(如 `123.sys`)相关的回...
驱动内核枚举LoadImage映像回调移除指定驱动123.sys的LoadImage映像回调,但不卸载123.sys驱动,提供完整编译可使用的代码
最新发布
03-23
为了实现目标功能,即枚举已注册的 `LoadImage` 回调函数列表,并移除与指定驱动程序(如 `123.sys`)相关的回调,可以通过以下方法: #### 方法概述 1. **定位回调链表**:Windows 的内部数据结构 `_PS_NOTIFY_...
优雅枚举枚举回调
yewen1234的博客
01-13 186
优雅枚举枚举回调
一份全系统x86x64通用的镜像回调枚举(LoadImageNotify)
weixin_34062329的博客
08-13 535
为什么80%的码农都做不了架构师?>>> ...
枚举移除进程线程回调
liuhaidon1992的博客
01-08 813
进程回调可以监视进程的创建退出,这个在前面的章节已经讲过了。 某些游戏保护的 驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退 出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里, 则马上把游戏退出。 我们注册的进程回调,会存储在一个名为 PspCreateProcessNotifyRoutine 的数组里。 PspCreatePr...
面向对象语言中的回调
haiou327’blog
05-31 1123
面向对象语言中的回调(Delphi)Dephi与C 一样,为了保持与过程语言Pascal的兼容性,它在引入面向对象机制的同时,保留了以前的结构化特性。因此,对回调的实现,也有两种截然不同的模式,一种是结构化的函数回调模式,一种是面向对象的接口模式。<br /><br />  2.4.1 回调函数<br /><br />  回调函数类型定义:<br /><br />type<br />TCalcFunc=function (a:integer;b:integer):integer;<br />  按照回调函数
对象回调实现进程保护
Cosmopolitan的博客
10-08 1145
#include <ntddk.h> #define PROCESS_TERMINATE 1 #define PROCESS_VM_OPERATION 0x0008 #define PROCESS_VM_READ 0x0010 #define PROCESS_VM_WRITE 0x0020 typedef struct _L...
驱动漏洞利用的另一种思路
r250414958的博客
03-27 788
驱动漏洞利用的另一种思路前言Kernel Callback Routines项目参考 前言 之前在前面<cpu-z 驱动漏洞利用>中说了可以利用驱动漏洞绕过杀毒软件OBOperationRegistration保护获取进程的最高权限,下面这种又是一种新思路来绕过杀毒软件的保护 Kernel Callback Routines 当 Microsoft 在 2005 年推出内核补丁保护(PatchGuard)时,严重限制了杀毒软件一些保护软件在驱动中使用内核hook(例如:sstdhook,I
19043 ObRegisterCallbacks 回调的遍历摘除
qq_41490873的博客
10-28 689
typedef struct _OB_PRE_CREATE_HANDLE_INFORMATION { _Inout_ ACCESS_MASK DesiredAccess; _In_ ACCESS_MASK OriginalDesiredAccess; } OB_PRE_CREATE_HANDLE_INFORMATION, *POB_PRE_CREATE_HANDLE_INFORMATION; typedef struct _OB_PRE_DUPLICA
当析构函数遇到多线程──C++ 中线程安全的对象回调
热门推荐
陈硕的Blog
01-22 5万+
 当析构函数遇到多线程── C++ 中线程安全的对象回调 陈硕 (giantchen_AT_gmail)Blog.csdn.net/Solstice请尽量阅读本文 PDF 版:http://www.cppblog.com/Files/Solstice/dtor_meets_mt.pdf 豆丁亦可,内容略微滞后: http://www.docin.com/p-42460300
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值