[原创]ObCallback 回调钩子检测-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]ObCallback 回调钩子检测

发表于: 2013-12-20 13:58 17983

[原创]ObCallback 回调钩子检测

Fypher

2013-12-20 13:58

17983

在 PatchGuard 的摧残下，通过 ObRegisterCallbacks 函数注册回调钩子已经成了 RK/ARK 中的主流技术之一。注册回调钩子的具体做法可以参考MSDN上的示例代码：http://code.msdn.microsoft.com/windowshardware/ObCallback-Sample-67a47841。

今天研究了一下检测这类回调钩子的方法，发出来跟大家分享。本人水平有限，错漏之处还请大家指正。

首先关注的还是注册回调钩子时调用的 ObRegisterCallbacks 函数，MSDN上的函数声明如下：

NTSTATUS ObRegisterCallbacks(
  _In_   POB_CALLBACK_REGISTRATION CallBackRegistration,
  _Out_  PVOID *RegistrationHandle
);

Part1：
钩子数据结构的头部信息，如版本号，CallbackOperator 个数等

Part2：（这个部分的长度取决于该回调钩子包含多少个CallbackOperator）
钩子数据结构的CallbackOperator1 相关信息
钩子数据结构的CallbackOperator2 相关信息
……

Part3：
钩子数据结构的额外信息，如 Altitude 等

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

x64bd360.png （57.56kb，154次下载）
CallbackDetect.zip （5.94kb，475次下载）

收藏・48

免费・5

支持

最新回复 (18)
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 2 楼占位学习下。 2013-12-20 14:40 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 3 楼 PG，PG。好东西，坏东西 2013-12-20 18:11 0
tianyahai 雪币： 270 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	tianyahai 4 楼学习学习@ 2013-12-20 18:12 0
gossip 雪币： 85 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	gossip 5 楼学习学习 2013-12-20 18:37 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 6 楼来留个mark 2013-12-20 18:52 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 7 楼留个mark 2013-12-20 22:37 0
watchsky 雪币： 2620 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 42 粉丝 0 关注私信	watchsky 8 楼看楼主帖子清晰易懂 2013-12-21 09:07 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 9 楼值得学习啊 2013-12-21 10:06 0
xiaoyang 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	xiaoyang 10 楼留个mark 2013-12-21 10:15 0
wildochen 雪币： 4 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wildochen 11 楼 DAY DAY UP 2013-12-21 10:30 0
枫清淡雪币： 8035 活跃值： (3904) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	枫清淡 12 楼不错的思路,学习了 2013-12-21 12:48 0
正happy 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 182 粉丝 0 关注私信	正happy 1 13 楼不用注册一个假钩子，你可以直接找到PsProcessType， kd> dt _OBJECT_TYPE nt!_OBJECT_TYPE +0x000 TypeList : _LIST_ENTRY +0x008 Name : _UNICODE_STRING +0x010 DefaultObject : Ptr32 Void +0x014 Index : UChar +0x018 TotalNumberOfObjects : Uint4B +0x01c TotalNumberOfHandles : Uint4B +0x020 HighWaterNumberOfObjects : Uint4B +0x024 HighWaterNumberOfHandles : Uint4B +0x028 TypeInfo : _OBJECT_TYPE_INITIALIZER +0x078 TypeLock : _EX_PUSH_LOCK +0x07c Key : Uint4B +0x080 CallbackList : _LIST_ENTRY 然后遍历CallbackList就行了~ 2013-12-21 12:54 0
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 14 楼楼主逆向出来的那两个结构体是不是 OB_CALLBACK_REGISTRATION 和 OB_OPERATION_REGISTRATION ？ 2013-12-22 00:59 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 15 楼内容差不多，CALLBACK_NODE描述的就是OB_CALLBACK_REGISTRATION，CALLBACK_BODY 描述的就是OB_OPERATION_REGISTRATION，只不过个别域的顺序不太一样，另外多了几个域，比如链表、ulXXX_000X000X 和 ulRefCount。 FC大牛睡得真晚…… 2013-12-22 01:24 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 16 楼这个不错，改天试试！学习了！ 2013-12-22 01:26 0
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 17 楼综合这里的信息，那个相邻的 ULONG 和 PWCHAR 应该确实是 OB_CALLBACK_REGISTRATION 里的那个 UNICODE_STRING，BODY 中间那个是个开关，结尾是个 EX_RUNDOWN_REF。 typedef struct _CALLBACK_BODY { LIST_ENTRY CallbackList; OB_OPERATION Operations; ULONG Active; OB_HANDLE Handle; POBJECT_TYPE ObjectType; POB_PRE_OPERATION_CALLBACK PreOperation; POB_POST_OPERATION_CALLBACK PostOperation; EX_RUNDOWN_REF RundownProtection; } CALLBACK_BODY, PCALLBACK_BODY; typedef struct _CALLBACK_NODE { USHORT Version; USHORT OperationRegistrationCount; PVOID RegistrationContext; UNICODE_STRING Altitude; CALLBACK_BODY Entries[1]; } CALLBACK_NODE, PCALLBACK_NODE; 2013-12-22 02:28 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 18 楼是的，这下就完整了 2013-12-22 03:09 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 19 楼国标到此一游 2014-1-16 15:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Fypher

发帖

251

回帖

260

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 2 楼占位学习下。 2013-12-20 14:40 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 3 楼 PG，PG。好东西，坏东西 2013-12-20 18:11 0
tianyahai 雪币： 270 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	tianyahai 4 楼学习学习@ 2013-12-20 18:12 0
gossip 雪币： 85 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	gossip 5 楼学习学习 2013-12-20 18:37 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 6 楼来留个mark 2013-12-20 18:52 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 7 楼留个mark 2013-12-20 22:37 0
watchsky 雪币： 2620 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 42 粉丝 0 关注私信	watchsky 8 楼看楼主帖子清晰易懂 2013-12-21 09:07 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 9 楼值得学习啊 2013-12-21 10:06 0
xiaoyang 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	xiaoyang 10 楼留个mark 2013-12-21 10:15 0
wildochen 雪币： 4 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wildochen 11 楼 DAY DAY UP 2013-12-21 10:30 0
枫清淡雪币： 8035 活跃值： (3904) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	枫清淡 12 楼不错的思路,学习了 2013-12-21 12:48 0
正happy 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 182 粉丝 0 关注私信	正happy 1 13 楼不用注册一个假钩子，你可以直接找到PsProcessType， kd> dt _OBJECT_TYPE nt!_OBJECT_TYPE +0x000 TypeList : _LIST_ENTRY +0x008 Name : _UNICODE_STRING +0x010 DefaultObject : Ptr32 Void +0x014 Index : UChar +0x018 TotalNumberOfObjects : Uint4B +0x01c TotalNumberOfHandles : Uint4B +0x020 HighWaterNumberOfObjects : Uint4B +0x024 HighWaterNumberOfHandles : Uint4B +0x028 TypeInfo : _OBJECT_TYPE_INITIALIZER +0x078 TypeLock : _EX_PUSH_LOCK +0x07c Key : Uint4B +0x080 CallbackList : _LIST_ENTRY 然后遍历CallbackList就行了~ 2013-12-21 12:54 0
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 14 楼楼主逆向出来的那两个结构体是不是 OB_CALLBACK_REGISTRATION 和 OB_OPERATION_REGISTRATION ？ 2013-12-22 00:59 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 15 楼内容差不多，CALLBACK_NODE描述的就是OB_CALLBACK_REGISTRATION，CALLBACK_BODY 描述的就是OB_OPERATION_REGISTRATION，只不过个别域的顺序不太一样，另外多了几个域，比如链表、ulXXX_000X000X 和 ulRefCount。 FC大牛睡得真晚…… 2013-12-22 01:24 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 16 楼这个不错，改天试试！学习了！ 2013-12-22 01:26 0
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 17 楼综合这里的信息，那个相邻的 ULONG 和 PWCHAR 应该确实是 OB_CALLBACK_REGISTRATION 里的那个 UNICODE_STRING，BODY 中间那个是个开关，结尾是个 EX_RUNDOWN_REF。 typedef struct _CALLBACK_BODY { LIST_ENTRY CallbackList; OB_OPERATION Operations; ULONG Active; OB_HANDLE Handle; POBJECT_TYPE ObjectType; POB_PRE_OPERATION_CALLBACK PreOperation; POB_POST_OPERATION_CALLBACK PostOperation; EX_RUNDOWN_REF RundownProtection; } CALLBACK_BODY, PCALLBACK_BODY; typedef struct _CALLBACK_NODE { USHORT Version; USHORT OperationRegistrationCount; PVOID RegistrationContext; UNICODE_STRING Altitude; CALLBACK_BODY Entries[1]; } CALLBACK_NODE, PCALLBACK_NODE; 2013-12-22 02:28 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 18 楼是的，这下就完整了 2013-12-22 03:09 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 19 楼国标到此一游 2014-1-16 15:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复