Windows下CmRegisterCallback简单分析

最新推荐文章于 2026-06-21 15:47:37 发布
原创 最新推荐文章于 2026-06-21 15:47:37 发布 · 1k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

IDA看一下
在这里插入图片描述

进入Internal函数

`signed __int64 __fastcall CmpRegisterCallbackInternal(__int64 Function, __int64 Context, const void **CmLegacyAltitude, char c_1, _QWORD *Cookie)
{
  __int64 _Context; // rsi
  __int64 _Function; // rbp
  const void **_CmLegacyAltitude; // rbx`
  `char _c_1; // r12`
  `__int64 v9; // rax
  __int64 v10; // rdi`
  `__int64 v12; // rax`
  `_ETW_REG_ENTRY *v13; // rax`
  `unsigned int v14; // ebx`
  `signed int v15; // eax`
  `_ETW_REG_ENTRY *v16; // rcx`

  `_Context = Context;
  _Function = Function;
  _CmLegacyAltitude = CmLegacyAltitude;
  _c_1 = c_1;
  // 这个是callback数据项
  v9 = (__int64)ExAllocatePoolWithTag(PagedPool, 80ui64, 'bcMC');
  v10 = v9;
  if ( !v9 )
    return 0xC000009Ai64;
  // 开头是LIST_ENTRY,这里是初始化LIST_ENTRY
  *(_QWORD *)(v9 + 8) = v9;`
  `*(_QWORD *)v9 = v9;
  // 这里在结尾16字节填充了同样的地址,是防止溢出的?
  v12 = v9 + 64;
  *(_QWORD *)(v12 + 8) = v12;`
  `*(_QWORD *)v12 = v12;
  // 这里是真正填写CALLBACK函数地址和参数
  *(_DWORD *)(v10 + 16) = 0;`
  `*(_QWORD *)(v10 + 32) = _Context;
  *(_QWORD *)(v10 + 40) = _Function;
  LOWORD(v12) = *(_WORD *)_CmLegacyAltitude;
  *(_WORD *)(v10 + 50) = *(_WORD *)_CmLegacyAltitude;`
  `*(_WORD *)(v10 + 48) = v12;
  // 这里申请内存保存了CmLegacyAltitude的值
  v13 = (_ETW_REG_ENTRY *)ExAllocatePoolWithTag(PagedPool, *(unsigned __int16 *)_CmLegacyAltitude, 'acMC');
  *(_QWORD *)(v10 + 56) = v13;
  if ( !v13 )
  {
    v14 = 0xC000009A;
LABEL_6:
    v16 = *(_ETW_REG_ENTRY **)(v10 + 56);
    if ( v16 )
      ExFreePoolWithTag(v16, 0);
    ExFreePoolWithTag((PVOID)v10, 0);
    return v14;
  }
  memmove(v13, _CmLegacyAltitude[1], *(unsigned __int16 *)_CmLegacyAltitude);
  // 最后将CALLBACK项传入此函数进行注册
  v15 = CmpInsertCallbackInListByAltitude((_QWORD *)v10, _c_1);
  *Cookie = *(_QWORD *)(v10 + 24);`
  `v14 = v15;`
  `if ( v15 < 0 )`
    `goto LABEL_6;`
  `return v14;`
`}`

进入 CmpInsertCallbackInListByAltitude,

__`int64 __fastcall CmpInsertCallbackInListByAltitude(_QWORD *a1, char a2)`
`{`
  `struct _KTHREAD *v2; // rax`
  `char v3; // bp`
  `__int64 v4; // rbx
  unsigned int v5; // esi
  __int64 *v6; // rdi`
  `int v7; // eax`
  `__int64 *v8; // rcx
  __int64 v9; // rax`
  `signed __int64 v10; // rcx
  __int64 v11; // rtt`
  `struct _KTHREAD *v12; // rdx`
  `bool v13; // zf`

  `v2 = KeGetCurrentThread();`
  `v3 = a2;`
  `--v2->KernelApcDisable;`
  `v4 = (__int64)a1;
  v5 = 0;
  if ( _interlockedbittestandset64((volatile signed __int32 *)&CallbackListLock, 0i64) )
    ExfAcquirePushLockExclusive(&CallbackListLock);
  *(_QWORD *)(v4 + 24) = ++CmpCallbackCookie;
  v6 = (__int64 *)CallbackListHead;
  if ( (__int64 *)CallbackListHead != &CallbackListHead )
  {
    do
    {
      v7 = RtlCompareAltitudes(v6 + 6, v4 + 48);
      if ( v7 )
      {
        if ( v7 < 0 )
          break;
      }
      else if ( !v3 )
      {
        goto LABEL_11;
      }
      v6 = (__int64 *)*v6;`
    `}`
    `while ( v6 != &CallbackListHead );`
    `if ( !v7 && !v3 )`
    `{`
`LABEL_11:`
      `v5 = 0xC01C0011;`
      `goto LABEL_13;`
    `}`
  `}`
  `v8 = (__int64 *)v6[1];
  v9 = *v8;
  *(_QWORD *)(v4 + 8) = v8;
  *(_QWORD *)v4 = v9;
  *(_QWORD *)(v9 + 8) = v4;
  *v8 = v4;
  _InterlockedAdd(&CmpCallBackCount, 1u);
LABEL_13:
  __asm { prefetchw byte ptr cs:CallbackListLock }`
  `v10 = CallbackListLock - 16;`
  `if ( (CallbackListLock & 0xFFFFFFFFFFFFFFF0ui64) <= 0x10 )`
    `v10 = 0i64;`
  `if ( CallbackListLock & 2`
    `|| (v11 = CallbackListLock, v11 != _InterlockedCompareExchange(&CallbackListLock, v10, CallbackListLock)) )`
  `{`
    `ExfReleasePushLock(&CallbackListLock);`
  `}`
  `v12 = KeGetCurrentThread();`
  `v13 = v12->KernelApcDisable++ == -1;`
  `if ( v13`
    `&& ($A23C80C4E4519FC60176F3D7BA3A3B67 *)v12->ApcState.ApcListHead[0].Flink != &v12->80`
    `&& !v12->SpecialApcDisable )`
  `{`
    `KiCheckForKernelApcDelivery();`
  `}`
  `return v5;`
`}`

总结

在这个函数里将CALLBACK ITEM 插入了CallbackListHead 链表。

CALLBACK ITEM 数据结构总结:

typedef struct CALLBACK_ITEM    
{ 
LIST_ENTRY Item;    
ULONG_PTR Unkonwn[2];    
ULONG_PTR Context;    
ULONG_PTR Function;    
UNICODE_STRING Altitude;    
ULONG_PTR Unkonwn[2];    
}
ntoskrnl.exe.c 导出函数 常用2000 个内核函数名
05-14
//CmRegisterCallback 监控注册表 //CmRegisterCallbackEx 监控注册表 //PsRemoveCreateThreadNotifyRoutine //取消线程拦截 取消线程监控 //PsRemoveLoadImageNotifyRoutine //取消模块拦截 取消模块监控 //PsRestoreImpersonation //PsResumeProcess //PsReturnPoolQuota //PsReturnProcessNonPagedPoolQuota //PsReturnProcessPagedPoolQuota //PsRevertThreadToSelf //PsRevertToSelf //PsSetContextThread //设置线程环境 //PsSetCreateProcessNotifyRoutine //拦截进程 //PsSetCreateProcessNotifyRoutineEx //拦截进程 进程监控 //PsSetCreateThreadNotifyRoutine //线程监控 线程拦截 //PsSetCurrentThreadPrefetching //PsSetJobUIRestrictionsClass //PsSetLegoNotifyRoutine //PsSetLoadImageNotifyRoutine 拦截模块加载 //PsSetProcessPriorityByClass
ntoskrnl ntoskrnl.exe Win2003系统文件
12-28
ntoskrnl ntoskrnl.exe Win2003系统文件
windows驱动 - 注册表回调
qq726232111的博客
12-27 1294
0x00 函数 CmRegisterCallbackEx() //回调函数绑定 CmUnRegisterCallback() //注销注册表回调 NTSTATUS ExCallbackFunction(PVOID CallbackContext,PVOID Argument1,PVOID Argument2) //注册表回调,具体内容看文档 0x01 代码 #include <ntifs.h> #include <ntddk.h> #include <wdm...
windows 驱动开发基础(三) 注册表回调
pureman_mega的博客
02-19 1329
参考工程路径:C:\WinDDK\7600.16385.1\src\general\registry\regfltr 关于 Transaction (事务),Enlistment(登记)对象的介绍https://docs.microsoft.com/zh-cn/windows-hardware/drivers/kernel/handling-rollback-operations 1.注册表回调使用 // // Register the callback // 函数原型 ...
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4934
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
利用CmRegisterCallback函数在Windows下保护注册表项
diveintokernel的专栏
03-31 4896
<br />一般在Windows下保护注册表有以下几种方法:<br /> <br />1. Ring3 hook <br /> 实现简单。可利用微软的Detour库,第三方的mhook库,或者自己实现。<br /> 但是如果是做产品的话不得不考虑兼容性的问题,纵使周知,大量的病毒、木马和恶意程序使用同样的方法来隐藏或者保护自身<br /> 的注册表项和键值,基本上所有基于行为监控的安全类软件都会向用户报告此类程序为恶意程序。<br />2. Ring0 hook<br /> 原理和Ring3 hook基本上
Windows内核回调清除技术:RealBlindingEDR如何突破AV/EDR监控壁垒
gitblog_00473的博客
03-08 1095
RealBlindingEDR是一款专注于Windows内核回调清除的工具,通过利用签名驱动实现任意地址读写,能够彻底致盲、终止或永久关闭各类反病毒软件(AV)和端点检测与响应(EDR)系统。本文将深入解析其核心技术原理、实际应用效果及操作指南,帮助读者理解如何突破现代安全防护体系的监控壁垒。 ## 什么是内核回调?为何它是AV/EDR的"眼睛"? Windows内核回调是操作系统提供的一种机
CmRegisterCallback监控注册表框架
Cosmopolitan的博客
09-28 1889
首先用CmRegisterCallback注册注册表回调 记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey: 这里我只监控了上面两个动作 #include <ntddk.h> #define REGISTRY_POOL_TAG 'lxw' LARGE_INTEGER cookie; NTKERNELAPI...
CmRegisterCallback使用方法
09-28 404
部分代码 #include "my_sys_fun.h"#ifdef __cplusplusextern "C"{#endif //驱动加载函数 NTSTATUS DriverEntry(PDRIVER_OBJECT pPDriverObj, PUNICODE_STRING pPuniStr); //驱动卸载函数 VOID UnLoadDriver(_In_ PDRIVER_O...
分析一个外挂驱动
2503_92196128的博客
05-16 221
第二个成员是一个指针,如果第一个成员为1,第二个成员就是指向调用函数信息的结构体的指针,如果第一个成员为0,第二个成员就是指向获取内核函数地址的信息的结构体的指针,下面写一个用户层程序来试着使用这个驱动来调用内核函数。REG_SET_VALUE_KEY_INFORMATION结构体的data成员是一个指针,指向一个结构体,我们叫他_UPGRADE_CONTEXT。把Argument2[2]赋值给了 PREG_SET_VALUE_KEY_INFORMATION。检查写入的DataSize是否等于8。
OpenArk内核分析工具:从原理到实战的Windows安全与逆向指南
最新发布
culuo8053的博客
06-21 424
Windows系统安全与逆向工程领域,深入理解内核机制是应对高级威胁和复杂软件分析的关键。内核是操作系统的核心,负责管理进程、内存、驱动和硬件等核心资源。其工作原理在于通过内核对象、回调机制和系统服务描述符表等数据结构,为上层应用提供运行环境。掌握内核分析技术,对于检测Rootkit、分析恶意驱动、排查系统级故障具有不可替代的价值,广泛应用于恶意软件分析、软件逆向、系统调试等场景。OpenArk正是这样一款强大的内核级分析工具,它通过直接读取内核对象管理器目录和遍历EPROCESS链表等底层方式,绕过了可
windows xp 原版ntoskrnl.exe
01-20
windows xp原版的ntoskrnl.exe,提取他原版的开机图片替换到你的SERVER2003系统
Nt内核函数大全
10-07
windows内核下的NT函数,包括函数的原型,参数介绍,参数功能,内核开发参考工具。
OpenArk v1.3.8技术深度解析:Windows内核安全分析新纪元
gitblog_01054的博客
06-05 950
Windows安全分析领域,内核级恶意程序检测一直面临着技术门槛高、工具分散、分析效率低等挑战。传统安全工具往往局限于用户层监控,难以深入系统内核层面进行精准分析,而专业的内核调试工具又过于复杂,不适合日常安全运维。OpenArk v1.3.8版本的出现,标志着Windows反Rootkit(ARK)工具进入了全新的技术发展阶段,为安全研究人员提供了一套完整的内核安全分析解决方案。 OpenA
RealBlindingEDR在企业环境中的应用:Windows Server全版本测试报告
gitblog_00114的博客
03-08 727
RealBlindingEDR是一款针对企业环境设计的安全工具,能够有效清除Windows系统中的各类内核回调,实现对AV/EDR的致盲、永久关闭或进程终止。本文将详细介绍其在Windows Server全版本环境中的测试效果与应用价值。 ## 📋 测试环境概览 RealBlindingEDR已在以下64位Windows Server版本完成兼容性测试: - Windows Server 2
注册表回调笔记
kernweak的博客
06-05 905
NTSTATUS CmRegisterCallbackEx( PEX_CALLBACK_FUNCTION Function,//回调函数 PCUNICODE_STRING Altitude,//高度 PVOID Driver, PVOID Context, PLARGE_INTEGER C...
Windows内核
若有战,召必回
01-13 798
这就是PNP_INITIALIZE_BAD_CRITICAL_DRIVERS和PNP_INITIALIZE_BAD_DRIVERS策略之间的主要区别:后者允许加载所有驱动程序,包括已知为恶意的非关键驱动程序。因此,在这个阶段对驱动程序的保护不是很有效。在 Windows 内核加载阶段,控制权会移交给Windows加载器Winload.exe,它会加载必要的内核文件如Ntoskrnl.exe,在此时会加载注册表中配置为 引导启动类型(Boot Start Type)的驱动程序,包括ELAM模块。
驱动开发:内核监控Register注册表回调
热门推荐
微软技术分享
10-27 1万+
中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控,注册表监视通常会通过。其中对于注册表最常用的监控项为以下几种类型,当然为了实现监控则我们必须要使用之前,如果使用之后则只能起到监视而无法做到监控的目的。需传入三个参数,参数一回调函数地址,参数二空余,参数三回调句柄,微软定义如下。,那么只有当注册表被创建才会拦截,此时就会变成拦截创建。
Windows内核沙盒原理详解
tianxilink的博客
09-01 2032
沙盒​ 在计算机领域指一种虚拟技术,它实际上是一种安全体系,且多用于计算机安全技术。其原理是通过重定向技术,把程序生成和修改的文件定向到自身文件夹中。本文主要探讨沙盒的内核实现原理
内核回调函数
maomao171314的专栏
07-05 1132
Kernel Callback Functions
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值