精易论坛

标题: Ob回调之反向降权破图标 [打印本页]

---

作者: BeaFeng    时间: 2023-2-7 18:22
标题: Ob回调之反向降权破图标


开发环境
Win10 X64/Visual Studio 2019/WDK 10.0 SDK 10.0.19041.0/易语言5.9


前段时间太忙，开源大赛都没时间和大家见面，今天开源个非常简单的CallBack回调的使用


相信很多人都很熟悉这个回调，一般都是拿来做保护进程使用，但是大部分不知道这个回调还能这么利用，有提权操作当然也有降权，这些在微软文档也是公开的，只是有时候很难注意到。


先看一下函数解释


NTSTATUS ObRegisterCallbacks(
  [in]  POB_CALLBACK_REGISTRATION CallbackRegistration,
  [out] PVOID                     *RegistrationHandle
);

参数
[in] CallbackRegistration


指向指定回调例程列表和其他注册信息的 [color=var(--theme-hyperlink)]OB_CALLBACK_REGISTRATION 结构的指针。


[out] RegistrationHandle

指向接收标识已注册回调例程集的值的变量的指针。 调用方将此值传递给 [color=var(--theme-hyperlink)]ObUnRegisterCallbacks 例程，以取消注册回调集


返回值
ObRegisterCallbacks 返回 NTSTATUS 值。 此例程可能返回以下值之一：


返回值

ObRegisterCallbacks 返回 NTSTATUS 值。 此例程可能返回以下值之一：

返回代码	说明
STATUS_SUCCESS	指定的回调例程注册到系统。
STATUS_FLT_INSTANCE_ALTITUDE_COLLISION	调用驱动程序或其他驱动程序已经为 CallBackRegistration->海拔高度 指定的高度注册了回调例程。 有关此高度的详细信息，请参阅[color=var(--theme-hyperlink)]OB_CALLBACK_REGISTRATION中海拔成员的说明。
STATUS_INVALID_PARAMETER	注册中指定的一个或多个参数无效。 ObRegisterCallbacks 可能会返回此错误，例如，如果指定 了 CallBackRegistration->版本的 无效值，或者尝试为不支持回调例程的对象类型注册。
STATUS_ACCESS_DENIED	回调例程不驻留在已签名的内核二进制映像中。
STATUS_INSUFFICIENT_RESOURCES	尝试分配内存失败。

省略大部分的废话，直接上代码

[attach]1224220[/attach]

驱动入口非常简单，上一个帖子也讲过这些，通用的IO通讯，创建符号链接设备，再注册CallBack回调

值得注意的是由于ObRegisterCallbacks函数会校验驱动，所以我们用测试签名肯定是无法正常挂回调的，所以打一个补丁让他正常创建。

接下来用Ark看一下一般的回调是长啥样的。

[attach]1224223[/attach]

这个页面大家应该也是熟悉的不能再熟悉了，稍微需要注意的另外一个地方就是原始函数地址0x383300，代表回调注册高度，如果我们想要降权破图标创建的回调高度必须小于被保护进程的回调，这里随便设置一个0x166666

[attach]1224224[/attach]

接下来就是两种回调的对比，非常的明显

[attach]1224225[/attach]

[attach]1224226[/attach]

通俗的讲一个是特定进程的句柄被打开是开放全部权限，另外一个是关闭权限

直接进入实战，易语言调用也是简单易懂，没有一滴代码是浪费的

[attach]1224227[/attach]

[attach]1224228[/attach]

可以看得到回调成功的创建了，接下来把需要破图标的进程ID用DeviceIoControl传给驱动看一下实际效果。

[attach]1224229[/attach]

大功告成，当然这仅限于对CallBack回调来保护的进程有效果（目前大部分应该都是用的这个吧~）

内核真的是无比奇妙，学无止境，我也仅仅是一个学生，大佬有好建议可以评论给我。

另外不要私信我说什么游戏，那个游戏，开源的都是学习研究仅此而已，我平时不玩游戏，也没时间玩，谢谢。

易密码:050273

---

作者: dark小新    时间: 2023-2-7 18:25
这波骚操作可以啊

---

作者: 晓月Am    时间: 2023-2-7 18:55
感谢分享了

---

作者: fdassd    时间: 2023-2-7 19:06
感谢分享...

---

作者: Crb    时间: 2023-2-7 19:07
感谢分享···

---

作者: SoloCat    时间: 2023-2-7 19:36

---

作者: 吃饭第一名    时间: 2023-2-7 19:47
当然这仅限于对C

---

作者: BeaFeng    时间: 2023-2-7 20:40

糖心疼 发表于 2023-2-7 19:36

忘记有密码了，补充了

---

作者: 选择性失忆    时间: 2023-2-7 20:41
谢谢分享正好学习一下

---

作者: q2350210076    时间: 2023-2-7 20:47

---

作者: 428499962    时间: 2023-2-7 21:10
111111111111111

---

作者: 1964555152    时间: 2023-2-7 21:14
6666666666666666

---

作者: 阿尼多    时间: 2023-2-7 21:22

---

作者: myxy1022    时间: 2023-2-7 22:26
感谢大佬分享

---

作者: 794229345    时间: 2023-2-7 23:12
感谢楼主分享！

---

作者: liujiakang    时间: 2023-2-7 23:40
牛逼 这我师父 无敌东西

---

作者: 小鳄鱼    时间: 2023-2-8 04:59
66666666666666666666666666

---

作者: lzy135146    时间: 2023-2-8 15:36
777777777777777777777777777777

---

作者: qwe876907    时间: 2023-2-9 16:35
777777777777777777777777777777

---

作者: qaz123qw    时间: 2023-2-10 21:47
88888888888888

---

作者: 余秋雨    时间: 2023-2-11 00:41
感谢分享

---

作者: 281844769    时间: 2023-2-11 18:43
66666666666666666666666

---

作者: 留不住的    时间: 2023-2-12 10:24
那个游戏，开源的都是学习研究仅此而

---

作者: 1632129307    时间: 2023-2-13 16:14
内核真的是无比奇妙

---

作者: 掠过    时间: 2023-2-14 16:56
CallBack回调来保护的进程有效果

---

作者: 631935411    时间: 2023-2-15 21:12
6666666666666666

---

作者: liuyun60    时间: 2023-2-16 14:55
小白一枚 破图标是啥意思？

---

作者: Death柠檬    时间: 2023-2-16 22:08
6666666666666666666666666666666666666666666666

---

作者: Death柠檬    时间: 2023-2-16 22:09
666666666666666666666666666666666666666666

---

作者: xiaosnadfd    时间: 2023-2-17 07:13

---

作者: xiaosnadfd    时间: 2023-2-17 07:13
6666666666666666

---

作者: w2623867    时间: 2023-2-17 11:23
6666666666666666

---

作者: 路远啊    时间: 2023-2-17 11:33
易密码:050273

---

作者: 影子需要光    时间: 2023-2-17 14:12
现在反作弊很成熟了，读写解决不了什么问题。马服一众游戏很多反作弊策略都在后端

---

作者: 唱腔    时间: 2023-2-24 19:10

---

作者: 3507595911    时间: 2023-2-25 02:26
现在反作弊很成熟了，读写解决不了什么问题。马服一众游戏很多反作弊策略都在后端

---

作者: 久爱茹茹    时间: 2023-2-25 20:44
另外不要私信我说什么游戏，那个游戏，开源的都是学习研究仅此而已，我平时不玩游戏，也没时间玩，谢谢

---

作者: ado11457    时间: 2023-2-26 19:16
656666666666666

---

作者: 天籁夕阳    时间: 2023-2-28 22:30
Ob回调之反向降权破图标

---

作者: lol1519973627    时间: 2023-3-1 20:54
前段时间太忙，开源大赛都没时间和大家见面

---

作者: sdfdssd    时间: 2023-3-2 00:18
回调之反向降权破图标

---

作者: WanDongWu    时间: 2023-3-3 13:41

回调之反向降权破图标

---

作者: 网络、大老板    时间: 2023-3-3 13:52
Ob回调之反向降权破图标

---

作者: 不飞    时间: 2023-3-4 01:08
66666666666666

---

作者: 猫帝    时间: 2023-3-7 05:02

---

作者: 不朽曦    时间: 2023-3-18 09:17
Ob回调之反向降权破图标

---

作者: 不朽曦    时间: 2023-3-19 16:25
Ob回调之反向降权破图标

---

作者: kk4648    时间: 2023-3-22 23:06
开源的都是学习研究仅此而已

---

作者: yvh3344    时间: 2023-3-23 13:17
开源的都是学习研究仅此而已

---

作者: jomswawjia    时间: 2023-3-23 15:16
666666666666666666666666

---

作者: 阮文轩哥哥    时间: 2023-3-23 20:09
这一看就是大佬，真羡慕

---

作者: yvh3344    时间: 2023-3-24 12:36
支持分享

---

作者: qq1004043585    时间: 2023-3-27 01:23
大佬牛P，666

---

作者: gusong125    时间: 2023-3-28 20:07
谢谢大佬分享

---

作者: 默念、    时间: 2023-3-29 15:41
虽然看不懂 但是很牛逼

---

作者: ︷蚁︷    时间: 2023-4-2 15:17
这一看就是大佬，真羡慕

---

作者: xiaoheinez    时间: 2023-4-3 18:09
支持大佬

---

作者: YXR20061105    时间: 2023-4-4 11:41
虽然看不懂 但是很牛逼

---

作者: 美国圣地大哥    时间: 2023-4-5 06:42
支持一下，期待用到它

---

作者: liaoxiaohu    时间: 2023-4-5 10:39
66666666666666666666

---

作者: 睡神接单    时间: 2023-4-6 10:45
        喝水不忘打井人

---

作者: spencer404    时间: 2023-4-6 15:31
感谢感谢

---

作者: 1678895471    时间: 2023-4-7 09:52
教程很好，唯一的缺陷就是没看懂还想学习过一下tx的

---

作者: jysoft2022    时间: 2023-4-8 13:08
谢谢分享

---

作者: zkwt0012    时间: 2023-4-13 09:45

这一看就是大佬，真羡慕

---

作者: 无极    时间: 2023-4-16 15:35
        支持开源~！感谢分享

---

作者: 无极    时间: 2023-4-20 17:18
        感谢分享，很给力！~

---

作者: nz夕颜    时间: 2023-4-21 00:16
        感谢分享，很给力！~

---

作者: nz夕颜    时间: 2023-4-21 00:16
        感谢分享，很给力！~

---

作者: suxia888    时间: 2023-4-25 03:17
Ob回调之反向降权破图标

---

作者: yz50k    时间: 2023-4-29 17:37
感谢分享 学习到了

---

作者: a3960382663    时间: 2023-5-1 09:50
感谢分享，很给力！~

---

作者: qq1872087833    时间: 2023-5-3 11:22

谢谢分享

---

作者: qiji0313    时间: 2023-5-6 06:34
看不懂啊{:3_41:}{:3_41:}{:3_41:}{:3_41:}

---

作者: 大大张    时间: 2023-5-9 16:41
这个问题我弄了好久

---

作者: elixdsx    时间: 2023-5-10 11:27
感谢分享~~！

---

作者: 8759880456    时间: 2023-5-11 16:14
20230511 WIN10 1709 正常

---

作者: 曜辉    时间: 2023-5-12 07:28
虽然看不懂,但是一定是很厉害的,佩服!

---

作者: nnitert    时间: 2023-5-16 17:46
gan xie fen xiang.

---

作者: 土豆要不    时间: 2023-5-18 07:30
标题: ++
感谢分享，很给力！~

---

作者: 土豆要不    时间: 2023-5-22 07:30
标题: ++
有意思，感谢分享

---

作者: Mouth    时间: 2023-5-23 12:04
感谢分享

---

作者: Mouth    时间: 2023-5-23 12:06
感谢分享

---

作者: miaorui    时间: 2023-5-23 22:32
感谢发布原创作品，精易因你更精彩！

---

作者: dixian666    时间: 2023-5-25 23:05
66666666666666666666666666666

---

作者: 小易义啊    时间: 2023-6-2 08:51
谢谢你的分享

---

作者: 2257001    时间: 2023-6-5 20:06
顶~~下来看看

---

作者: Mouth    时间: 2023-6-5 23:01
感谢分享

---

作者: xiatianwl    时间: 2023-6-6 04:05
感谢分享，很给力！~

---

作者: li609545570    时间: 2023-6-7 23:11
666 膜拜大神的技术！

---

作者: lxh1230    时间: 2023-6-8 11:41
66666666666666666666666666666666666666666

---

作者: w506576134    时间: 2023-6-8 17:29
感谢分享，很给力！~

---

作者: w1398113241    时间: 2023-6-20 22:05
感谢大佬

---

作者: kvx55c    时间: 2023-6-21 19:47
支持支持支持支持支持支持支持支持

---

作者: 土豆要不    时间: 2023-6-22 07:30
标题: ++
有意思，感谢分享

---

作者: 土豆要不    时间: 2023-6-23 07:30
标题: ++
6666666666666666666

---

作者: liaoxiaohu    时间: 2023-7-5 16:03
6666666666666666666

---

作者: 25021081531    时间: 2023-7-8 18:12
感谢分享，很给力！~

---

作者: qc999    时间: 2023-7-10 12:33
学习了 谢谢

---

作者: youguiqing    时间: 2023-7-20 17:25
楼主的作品很好用   大家试一下

---

欢迎光临 精易论坛 (https://125.confly.eu.org/)

Powered by Discuz! X3.4