当前位置：网站首页>Win64 驱动内核编程-31.枚举与删除映像回调

Win64 驱动内核编程-31.枚举与删除映像回调

2022-07-20 20:01:00 【51CTO】

枚举与删除映像回调

映像回调可以拦截 RING3 和 RING0 的映像加载。某些游戏保护会用此来拦截黑名单中的驱动加载，比如 XUETR、WIN64AST 的驱动。同理，在反游戏保护的过程中，也可以拦截游戏驱动的加载。

跟进程/线程回调类似，映像回调也存储在数组里。这个数组的“符号名”是PspLoadImageNotifyRoutine。我们可以在 PsSetLoadImageNotifyRoutine 中找到它：

Win64 驱动内核编程-31.枚举与删除映像回调_数组

实现的代码如下：

       
       ULONG64 
       
       FindPspLoadImageNotifyRoutine()
       
{
       
       ULONG64  
       
       i
       
       =
       
       0,
       
       pCheckArea
       
       =
       
       0;
       
       UNICODE_STRING  
       
       unstrFunc;
       
       RtlInitUnicodeString(
       
       &
       
       unstrFunc, 
       
       L
       
       "PsSetLoadImageNotifyRoutine");
       
       pCheckArea 
       
       = (
       
       ULONG64)
       
       MmGetSystemRoutineAddress (
       
       &
       
       unstrFunc);
       
       DbgPrint(
       
       "PsSetLoadImageNotifyRoutine: %llx",
       
       pCheckArea);
       
       for(
       
       i
       
       =
       
       pCheckArea;
       
       i
       
       <
       
       pCheckArea
       
       +
       
       0xff;
       
       i
       
       ++)
       
{
       
       if(
       
       *(
       
       PUCHAR)
       
       i
       
       ==
       
       0x48 
       
       && 
       
       *(
       
       PUCHAR)(
       
       i
       
       +
       
       1)
       
       ==
       
       0x8d 
       
       && 
       
       *(
       
       PUCHAR)(
       
       i
       
       +
       
       2)
       
       ==
       
       0x0d)  
       
       //lea rcx,xxxx
       
{
       
       LONG 
       
       OffsetAddr
       
       =
       
       0;
       
       memcpy(
       
       &
       
       OffsetAddr,(
       
       PUCHAR)(
       
       i
       
       +
       
       3),
       
       4);
       
       return 
       
       OffsetAddr
       
       +
       
       7
       
       +
       
       i;
       
}
       
}
       
       return 
       
       0;
       
}
       
       void 
       
       EnumLoadImageNotify()
       
{
       
       int 
       
       i
       
       =
       
       0;
       
       BOOLEAN 
       
       b;
       
       ULONG64  
       
       NotifyAddr
       
       =
       
       0,
       
       MagicPtr
       
       =
       
       0;
       
       ULONG64  
       
       PspLoadImageNotifyRoutine
       
       =
       
       FindPspLoadImageNotifyRoutine();
       
       DbgPrint(
       
       "PspLoadImageNotifyRoutine: %llx",
       
       PspLoadImageNotifyRoutine);
       
       if(
       
       !
       
       PspLoadImageNotifyRoutine)
       
       return;
       
       for(
       
       i
       
       =
       
       0;
       
       i
       
       <
       
       8;
       
       i
       
       ++)
       
{
       
       MagicPtr
       
       =
       
       PspLoadImageNotifyRoutine
       
       +
       
       i
       
       *
       
       8;
       
       NotifyAddr
       
       =*(
       
       PULONG64)(
       
       MagicPtr);
       
       if(
       
       MmIsAddressValid((
       
       PVOID)
       
       NotifyAddr) 
       
       && 
       
       NotifyAddr
       
       !=
       
       0)
       
{
       
       NotifyAddr
       
       =*(
       
       PULONG64)(
       
       NotifyAddr 
       
       & 
       
       0xfffffffffffffff8);
       
       DbgPrint(
       
       "[LoadImage]%llx",
       
       NotifyAddr);
       
}
       
}
       
}
      
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.

执行结果如下：

Win64 驱动内核编程-31.枚举与删除映像回调_数组_02

用这三种回调（CreateProcess、CreateThread、LoadImage）来做监控其实并不怎么靠谱，因为系统里存在一个开关，叫做 PspNotifyEnableMask，如果它的值被设置为 0，那么所有的相关操作都不会经过回调。换句话说，如果 PspNotifyEnableMask等于 0，那么所有的进程、线程、映像回调都会失效。不过这个变量并没有在导出函数中直接出现，所以找到它略难。

宋孖健，13

原网站

版权声明
本文为[51CTO]所创，转载请带上原文链接，感谢
https://blog.51cto.com/csnd/5498379

当前位置：网站首页>Win64 驱动内核编程-31.枚举与删除映像回调

Win64 驱动内核编程-31.枚举与删除映像回调

枚举与删除映像回调

边栏推荐

猜你喜欢

随机推荐