内核回调

相对于各种HOOK的安全性、稳定性问题,我更喜欢使用回调来做各种监视

虽然回调函数获取各种信息的时间偏后于先手HOOK获取各种信息的时间,而且不一定可以拦截到什么,但是这更安全。

PsSetCreateProcessNotifyRoutine 进程创建回调(它的回调运行的时候,进程应该已经被创建了,但是还没有跑起来,所以这里可以实现拦截进程创建的效果)

PsSetCreateThreadNotifyRoutine 线程创建回调(检测线程创建,不知道有啥大的用处)

PsSetLoadImageNotifyRoutine 模块加载回调(检测模块加载,不知道能干啥)

PsRemoveLoadImageNotifyRoutine 模块卸载回调

CmRegisterCallback 注册表回调(似乎只能监视,无法实现匹配、拦截)

CmUnRegisterCallback 注册表回调卸载

等等,很多地方可能都有回调,我知道的就这几个,用过的就前四个。

时间: 2024-11-29 01:18:51

内核回调的相关文章

内核回调的触发时机

自己验证的 环境WinXP SP3 x86 进程创建回调 进程被影射进内存之后,仅仅是被影射进来之后. 也就是进程内部空间的修改可能会修改到应用程序文件. 这时有一条线程存在,但是没有被运行,也就是说,主线程存在,但是还没有执行到exe 的 oep. 这时可以做的操作不多, 可以插入APC,但是不可以修改进程空间的任何内存空间,因为被修改的地方可能会直接被影射到文件中. 镜像加载回调 一个镜像被加载(影射)进内存之后. 这时仍然不能对进程内部空间作修改, 同样,这时仍然没有执行到 oep, 主线

图解使用PowerTool对Windows内核做初步研究探索

PowerTool下载 http://pan.baidu.com/s/1skZx4TZ PowerTool_1.6_PortableSoft.7z 1 系统检测 自动检测了如下安全项: 有个 流氓快捷方式 项 顽固桌面图标删不掉3种办法: 1.桌面上点鼠标右键-排列图标-运行桌面图标清理向导-选择要清理的图标-点下一步就可以了 2.如果有360安全卫士,可以尝试: 打开 360安全卫士--修复IE,全选,立即修复! 然后打开 360顽固木马专杀大全(百度搜索下载),里面也有一个修复, 把里面的与

X64驱动:内核里操作进程

注意:下面的所有案例必须使用.C结尾的文件,且必须在链接选项中加入 /INTEGRITYCHECK 选项,否则编译根本无法通过(整理修正,整合,Win10可编译并运行),内核代码相对固定,如果对内核编程不太熟的话,请不要随意修改代码,否则很容易蓝屏,大佬绕过 内核枚举进线程/模块 内核枚举进程: 进程就是活动起来的程序,每一个进程在内核里,都有一个名为 EPROCESS 的结构记录它的详细信息,其中就包括进程名,PID,PPID,进程路径等,通常在应用层枚举进程只列出所有进程的编号即可,不过在内

Windows 错误代码

Error Messages for Windows http://www.gregorybraun.com/MSWINERR.ZIP Server 4.0 Error Messages   Code Error Message 0 操作成功完成. 1 函数不正确. 2 系统找不到指定的文件. 3 系统找不到指定的路径. 4 系统无法打开文件. 5 拒绝访问. 6 句柄无效. 7 存储控制块被损坏. 8 存储空间不足,无法处理此命令. 9 存储控制块地址无效. 10 环境不正确. 11 试图加载

PowerTool(杀毒辅助工具) V4.6 中文免费绿色版

软件名称: PowerTool(杀毒辅助工具)软件语言: 简体中文授权方式: 免费软件运行环境: Win7 / Vista / Win2003 / WinXP 软件大小: 968KB图片预览: 软件简介:目前版本主要功能:1. 所有进程的枚举(包括内核中隐藏的进程)2. 所有文件的枚举(包括内核中隐藏的文件)3. 进程中所有模块的枚举(包括内核中隐藏的模块)4. 进程的强制结束5. 进程中模块的强制卸载6. 模块被哪些进程加载的检索7. 查看文件/文件夹被占用的情况8. 可以Unlock占用文件

关于Win7 x64下过TP保护(应用层)(转)

非常感谢大家那么支持我上一篇教程.Win10 快出了,所以我打算尽快把应用层的部分说完. 调试对象:DXF调试工具:CE.OD.PCHunter.Windbg调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法.有的保护还是内核与应用层交替保护. 应用层:1.TP让调试器卡死(内核互动)现象: <ignore_js_op> 如图,TP会检测调试器让调试器暂停运行,实际上就是暂停了调试器所有的线程而已.这个保护是今年7月份新出的,所以我这里重点分析下,我刚开始调

Cpp_with_MFC官方实例----定时器的使用

本文使用的实例是位于程序安装目录的prj文件夹下Cpp_with_MFC项目,该项目包括两个工程,分别是Cpp_with_MFC工程和kernel工程 kernel工程主要有两个函数组成: 1. _initFunction(void* pArgs) ,该函数是用于kernel工程生成的dll文件被外部调用时的初始化代码,该函数内部没有实质内容. 2. _timerCallBack(void* pArgs, void* pContext),该函数为定时器回调函数,每进入一次则计数值+1,每达到50

有哪些软件堪称「神器」,却不被大众所知?

著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处.作者:朱哲哲链接:http://www.zhihu.com/question/36546814/answer/68763923来源:知乎 smallpdf跑个题,这个不是软件,是一个在线的网站.功能强大的pdf工具,可以将pdf转换为EXCEL,WORD,JPG,PPT,可以将PPT,JPG,WORD,EXCEL转换为PDF,可以将PDF合并,压缩,分割,解密.网址:http://smallpdf.com/cn&amp;lt;i

AptitudeSystem 2.0

AptitudeSystem 2.0(2017-03-07) 描写叙述:Windows内核研究辅助工具 支持的系统:Windows 7.Windows 8.Windows 8.1.Windows 10同一时候支持32位和64位的系统 測试过的系统:Windows 7(x86,x64).Windows 8(x86,x64).Windows 8.1(x86,x64).Windows 10(x86,x64) 支持的功能: 1.软件多开.提供了几种不同的多开方案. 1.1.系统仅仅负责处理.须要你手动打