[原创]驱动保护中的ObjectType_Callback探索-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]驱动保护中的ObjectType_Callback探索

发表于: 2013-10-31 23:01 11331

[原创]驱动保护中的ObjectType_Callback探索

farmtest

2013-10-31 23:01

11331

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.jpg （17.24kb，527次下载）
2.jpg （86.53kb，3次下载）
3.jpg （46.36kb，1次下载）
4.jpg （29.16kb，9次下载）
5.jpg （22.77kb，1次下载）
6.png （7.89kb，16次下载）
7.png （30.78kb，43次下载）
8.png （25.65kb，31次下载）
9.png （31.79kb，11次下载）
10.png （14.79kb，11次下载）
11.png （8.41kb，9次下载）
12.png （9.02kb，1次下载）
13.png （13.49kb，1次下载）
14.png （11.60kb，1次下载）
15.png （72.87kb，30次下载）
16.png （4.63kb，1次下载）

收藏・68

免费・5

支持

最新回复 (22)
囧囧雪币： 284 活跃值： (3604) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 13 关注私信	囧囧 2 楼沙发，最近也在看Object hook相关的东西，发现PCHunter1.31有Callback-Object和HHIVE，还没动手查，从LZ这解疑了。 2013-10-31 23:23 0
anhkgg 雪币： 10072 活跃值： (3008) 能力值： ( LV15，RANK：515 ) 在线值：发帖 28 回帖 117 粉丝 92 关注私信	anhkgg 7 3 楼厉害啊，佩服 2013-10-31 23:40 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 4 楼不错哦！。 2013-11-1 00:06 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 5 楼看得出来，LZ很认真最后就是ObRegisterCallbacks这个内核函数了 2013-11-1 02:17 0
farmtest 雪币： 92 活跃值： (70) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 10 粉丝 2 关注私信	farmtest 2 6 楼总结的来说就是：用PCHunter在object钩子中看到ObjectType_Callbak就是用ObRegisterCallbacks函数注册的，用ObUnRegisterCallbacks函数解除注册即可，其参数是需卸载的函数地址，至于怎么得到函数地址就仁者见仁智者见智了顺便弱弱问下我怎么才能转正呢我看规定是“5）发表一篇文章，达到“优秀”或“精华”帖标准直接转为正式会员；” 的吧？ 2013-11-1 08:21 0
suiyingjie 雪币： 25115 活跃值： (1028) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 114 粉丝 1 关注私信	suiyingjie 7 楼不错，分析的清晰。 2013-11-1 09:34 0
zhujian 雪币： 1262 活跃值： (770) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 8 楼精彩啊，这文章看起来舒服。谢谢楼主分享。 2013-11-1 11:13 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 9 楼十分脆皮的东西,随意就能PASS 2013-11-1 14:25 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 10 楼一看就是好文章，楼主很认真。 2013-11-1 17:29 0
vvLinker 雪币： 35 活跃值： (96) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 52 粉丝 0 关注私信	vvLinker 11 楼支持一下 2013-11-1 17:59 0
xtayaitak 雪币： 106 活跃值： (574) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 216 粉丝 0 关注私信	xtayaitak 12 楼好文章，支持一个 2013-11-2 20:51 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 13 楼赞扬一下，似乎这种hook方式最近几年才公开（vista后才有…） 2013-11-5 00:53 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 14 楼支持一下 2013-11-5 21:22 0
刘斌liubin 雪币： 9 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	刘斌liubin 15 楼支持原创。支持分享。支持楼主！ 2013-11-5 23:46 0
PPTV 雪币： 9698 活跃值： (2506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 16 楼看了一点，感觉楼主很认真，细致。MARK慢慢看 2013-11-6 22:24 0
glpl 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	glpl 17 楼学习了！好东西！好知识！ 2013-11-7 16:03 0
xesxfs 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xesxfs 18 楼受教了···谢谢Lz分享 2013-11-8 10:20 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 19 楼支持原创。支持分享。支持楼主！ 2013-11-9 16:12 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 20 楼 mark 2013-11-12 08:54 0
zylyy 雪币： 144 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 21 楼 mark,也许有一天会用到呢 2014-8-29 22:08 0
木志本柯雪币： 4747 活跃值： (4311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 22 楼请问你是怎么知道ObpCallPreOperationCallbacks在ntkrnlpa.exe而不是在ntoskrnl.exe里的呢。 2018-8-18 14:58 0
菜鸟级X 雪币： 2391 活跃值： (309) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 71 粉丝 19 关注私信	菜鸟级X 2 23 楼 mark 2018-12-5 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

farmtest

发帖

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
囧囧雪币： 284 活跃值： (3604) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 13 关注私信	囧囧 2 楼沙发，最近也在看Object hook相关的东西，发现PCHunter1.31有Callback-Object和HHIVE，还没动手查，从LZ这解疑了。 2013-10-31 23:23 0
anhkgg 雪币： 10072 活跃值： (3008) 能力值： ( LV15，RANK：515 ) 在线值：发帖 28 回帖 117 粉丝 92 关注私信	anhkgg 7 3 楼厉害啊，佩服 2013-10-31 23:40 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 4 楼不错哦！。 2013-11-1 00:06 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 5 楼看得出来，LZ很认真最后就是ObRegisterCallbacks这个内核函数了 2013-11-1 02:17 0
farmtest 雪币： 92 活跃值： (70) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 10 粉丝 2 关注私信	farmtest 2 6 楼总结的来说就是：用PCHunter在object钩子中看到ObjectType_Callbak就是用ObRegisterCallbacks函数注册的，用ObUnRegisterCallbacks函数解除注册即可，其参数是需卸载的函数地址，至于怎么得到函数地址就仁者见仁智者见智了顺便弱弱问下我怎么才能转正呢我看规定是“5）发表一篇文章，达到“优秀”或“精华”帖标准直接转为正式会员；” 的吧？ 2013-11-1 08:21 0
suiyingjie 雪币： 25115 活跃值： (1028) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 114 粉丝 1 关注私信	suiyingjie 7 楼不错，分析的清晰。 2013-11-1 09:34 0
zhujian 雪币： 1262 活跃值： (770) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 8 楼精彩啊，这文章看起来舒服。谢谢楼主分享。 2013-11-1 11:13 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 9 楼十分脆皮的东西,随意就能PASS 2013-11-1 14:25 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 10 楼一看就是好文章，楼主很认真。 2013-11-1 17:29 0
vvLinker 雪币： 35 活跃值： (96) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 52 粉丝 0 关注私信	vvLinker 11 楼支持一下 2013-11-1 17:59 0
xtayaitak 雪币： 106 活跃值： (574) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 216 粉丝 0 关注私信	xtayaitak 12 楼好文章，支持一个 2013-11-2 20:51 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 13 楼赞扬一下，似乎这种hook方式最近几年才公开（vista后才有…） 2013-11-5 00:53 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 14 楼支持一下 2013-11-5 21:22 0
刘斌liubin 雪币： 9 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	刘斌liubin 15 楼支持原创。支持分享。支持楼主！ 2013-11-5 23:46 0
PPTV 雪币： 9698 活跃值： (2506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 16 楼看了一点，感觉楼主很认真，细致。MARK慢慢看 2013-11-6 22:24 0
glpl 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	glpl 17 楼学习了！好东西！好知识！ 2013-11-7 16:03 0
xesxfs 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xesxfs 18 楼受教了···谢谢Lz分享 2013-11-8 10:20 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 19 楼支持原创。支持分享。支持楼主！ 2013-11-9 16:12 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 20 楼 mark 2013-11-12 08:54 0
zylyy 雪币： 144 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 21 楼 mark,也许有一天会用到呢 2014-8-29 22:08 0
木志本柯雪币： 4747 活跃值： (4311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 22 楼请问你是怎么知道ObpCallPreOperationCallbacks在ntkrnlpa.exe而不是在ntoskrnl.exe里的呢。 2018-8-18 14:58 0
菜鸟级X 雪币： 2391 活跃值： (309) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 71 粉丝 19 关注私信	菜鸟级X 2 23 楼 mark 2018-12-5 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复