驅動開發:核心監控Register登入檔回撥
2022-10-27 12:01:15
在筆者前一篇文章《驅動開發:核心列舉Registry登入檔回撥》中實現了對登入檔的列舉,本章將實現對登入檔的監控,不同於32位元系統在64位元系統中,微軟為我們提供了兩個針對登入檔的專用核心監控函數,通過這兩個函數可以在不劫持核心API的前提下實現對登入檔增加,刪除,建立等事件的有效監控,登入檔監視通常會通過CmRegisterCallback建立監控事件並傳入自己的回撥函數,與該建立對應的是CmUnRegisterCallback當登入檔監控結束後可用於登出回撥。
- CmRegisterCallback 設定登入檔回撥
- CmUnRegisterCallback 登出登入檔回撥
預設情況下CmRegisterCallback需傳入三個引數,引數一回撥函數地址,引數二空餘,引數三回撥控制程式碼,微軟定義如下。
// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]
// 引數1:回撥函數地址
// 引數2:無作用
// 引數3:回撥控制程式碼
NTSTATUS CmRegisterCallback(
[in] PEX_CALLBACK_FUNCTION Function,
[in, optional] PVOID Context,
[out] PLARGE_INTEGER Cookie
);
自定義登入檔回撥函數MyLySharkCallback需要保留三個引數,CallbackContext回撥上下文,Argument1是操作型別,Argument2定義詳細結構體指標。
NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)
在自定義回撥函數內Argument1則可獲取到操作型別,型別是一個REG_NOTIFY_CLASS列舉結構,微軟對其的具體定義如下所示。
// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]
typedef enum _REG_NOTIFY_CLASS {
RegNtDeleteKey,
RegNtPreDeleteKey = RegNtDeleteKey,
RegNtSetValueKey,
RegNtPreSetValueKey = RegNtSetValueKey,
RegNtDeleteValueKey,
RegNtPreDeleteValueKey = RegNtDeleteValueKey,
RegNtSetInformationKey,
RegNtPreSetInformationKey = RegNtSetInformationKey,
RegNtRenameKey,
RegNtPreRenameKey = RegNtRenameKey,
RegNtEnumerateKey,
RegNtPreEnumerateKey = RegNtEnumerateKey,
RegNtEnumerateValueKey,
RegNtPreEnumerateValueKey = RegNtEnumerateValueKey,
RegNtQueryKey,
RegNtPreQueryKey = RegNtQueryKey,
RegNtQueryValueKey,
RegNtPreQueryValueKey = RegNtQueryValueKey,
RegNtQueryMultipleValueKey,
RegNtPreQueryMultipleValueKey = RegNtQueryMultipleValueKey,
RegNtPreCreateKey,
RegNtPostCreateKey,
RegNtPreOpenKey,
RegNtPostOpenKey,
RegNtKeyHandleClose,
RegNtPreKeyHandleClose = RegNtKeyHandleClose,
//
// .Net only
//
RegNtPostDeleteKey,
RegNtPostSetValueKey,
RegNtPostDeleteValueKey,
RegNtPostSetInformationKey,
RegNtPostRenameKey,
RegNtPostEnumerateKey,
RegNtPostEnumerateValueKey,
RegNtPostQueryKey,
RegNtPostQueryValueKey,
RegNtPostQueryMultipleValueKey,
RegNtPostKeyHandleClose,
RegNtPreCreateKeyEx,
RegNtPostCreateKeyEx,
RegNtPreOpenKeyEx,
RegNtPostOpenKeyEx,
//
// new to Windows Vista
//
RegNtPreFlushKey,
RegNtPostFlushKey,
RegNtPreLoadKey,
RegNtPostLoadKey,
RegNtPreUnLoadKey,
RegNtPostUnLoadKey,
RegNtPreQueryKeySecurity,
RegNtPostQueryKeySecurity,
RegNtPreSetKeySecurity,
RegNtPostSetKeySecurity,
//
// per-object context cleanup
//
RegNtCallbackObjectContextCleanup,
//
// new in Vista SP2
//
RegNtPreRestoreKey,
RegNtPostRestoreKey,
RegNtPreSaveKey,
RegNtPostSaveKey,
RegNtPreReplaceKey,
RegNtPostReplaceKey,
MaxRegNtNotifyClass //should always be the last enum
} REG_NOTIFY_CLASS;
其中對於登入檔最常用的監控項為以下幾種型別,當然為了實現監控則我們必須要使用之前,如果使用之後則只能起到監視而無法做到監控的目的。
- RegNtPreCreateKey 建立登入檔之前
- RegNtPreOpenKey 開啟登入檔之前
- RegNtPreDeleteKey 刪除登入檔之前
- RegNtPreDeleteValueKey 刪除鍵值之前
- RegNtPreSetValueKey 修改登入檔之前
如果需要實現監視則,首先CmRegisterCallback註冊一個自定義回撥,當有訊息時則觸發MyLySharkCallback其內部獲取到lOperateType操作型別,並通過switch選擇不同的處理例程,每個處理例程都通過GetFullPath得到登入檔完整路徑,並列印出來,這段程式碼實現如下。
// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]
#include <ntifs.h>
#include <windef.h>
// 未匯出函數宣告 pEProcess -> PID
PUCHAR PsGetProcessImageFileName(PEPROCESS pEProcess);
NTSTATUS ObQueryNameString(
_In_ PVOID Object,
_Out_writes_bytes_opt_(Length) POBJECT_NAME_INFORMATION ObjectNameInfo,
_In_ ULONG Length,
_Out_ PULONG ReturnLength
);
// 登入檔回撥Cookie
LARGE_INTEGER g_liRegCookie;
// 獲取登入檔完整路徑
BOOLEAN GetFullPath(PUNICODE_STRING pRegistryPath, PVOID pRegistryObject)
{
// 判斷資料地址是否有效
if ((FALSE == MmIsAddressValid(pRegistryObject)) ||
(NULL == pRegistryObject))
{
return FALSE;
}
// 申請記憶體
ULONG ulSize = 512;
PVOID lpObjectNameInfo = ExAllocatePool(NonPagedPool, ulSize);
if (NULL == lpObjectNameInfo)
{
return FALSE;
}
// 獲取登入檔路徑
ULONG ulRetLen = 0;
NTSTATUS status = ObQueryNameString(pRegistryObject, (POBJECT_NAME_INFORMATION)lpObjectNameInfo, ulSize, &ulRetLen);
if (!NT_SUCCESS(status))
{
ExFreePool(lpObjectNameInfo);
return FALSE;
}
// 複製
RtlCopyUnicodeString(pRegistryPath, (PUNICODE_STRING)lpObjectNameInfo);
// 釋放記憶體
ExFreePool(lpObjectNameInfo);
return TRUE;
}
// 登入檔回撥函數
NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)
{
NTSTATUS status = STATUS_SUCCESS;
UNICODE_STRING ustrRegPath;
// 獲取操作型別
LONG lOperateType = (REG_NOTIFY_CLASS)Argument1;
// 申請記憶體
ustrRegPath.Length = 0;
ustrRegPath.MaximumLength = 1024 * sizeof(WCHAR);
ustrRegPath.Buffer = ExAllocatePool(NonPagedPool, ustrRegPath.MaximumLength);
if (NULL == ustrRegPath.Buffer)
{
return status;
}
RtlZeroMemory(ustrRegPath.Buffer, ustrRegPath.MaximumLength);
// 判斷操作
switch (lOperateType)
{
// 建立登入檔之前
case RegNtPreCreateKey:
{
// 獲取登入檔路徑
GetFullPath(&ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->RootObject);
DbgPrint("[建立登入檔][%wZ][%wZ]\n", &ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->CompleteName);
break;
}
// 開啟登入檔之前
case RegNtPreOpenKey:
{
// 獲取登入檔路徑
GetFullPath(&ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->RootObject);
DbgPrint("[開啟登入檔][%wZ][%wZ]\n", &ustrRegPath, ((PREG_CREATE_KEY_INFORMATION)Argument2)->CompleteName);
break;
}
// 刪除鍵之前
case RegNtPreDeleteKey:
{
// 獲取登入檔路徑
GetFullPath(&ustrRegPath, ((PREG_DELETE_KEY_INFORMATION)Argument2)->Object);
DbgPrint("[刪除鍵][%wZ] \n", &ustrRegPath);
break;
}
// 刪除鍵值之前
case RegNtPreDeleteValueKey:
{
// 獲取登入檔路徑
GetFullPath(&ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->Object);
DbgPrint("[刪除鍵值][%wZ][%wZ] \n", &ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->ValueName);
// 獲取當前程序, 即操作登入檔的程序
PEPROCESS pEProcess = PsGetCurrentProcess();
if (NULL != pEProcess)
{
UCHAR *lpszProcessName = PsGetProcessImageFileName(pEProcess);
if (NULL != lpszProcessName)
{
DbgPrint("程序 [%s] 刪除了鍵值對 \n", lpszProcessName);
}
}
break;
}
// 修改鍵值之前
case RegNtPreSetValueKey:
{
// 獲取登入檔路徑
GetFullPath(&ustrRegPath, ((PREG_SET_VALUE_KEY_INFORMATION)Argument2)->Object);
DbgPrint("[修改鍵值][%wZ][%wZ] \n", &ustrRegPath, ((PREG_SET_VALUE_KEY_INFORMATION)Argument2)->ValueName);
break;
}
default:
break;
}
// 釋放記憶體
if (NULL != ustrRegPath.Buffer)
{
ExFreePool(ustrRegPath.Buffer);
ustrRegPath.Buffer = NULL;
}
return status;
}
VOID UnDriver(PDRIVER_OBJECT driver)
{
DbgPrint(("Uninstall Driver Is OK \n"));
// 登出當前登入檔回撥
if (0 < g_liRegCookie.QuadPart)
{
CmUnRegisterCallback(g_liRegCookie);
}
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
DbgPrint(("hello lyshark.com \n"));
// 設定登入檔回撥
NTSTATUS status = CmRegisterCallback(MyLySharkCallback, NULL, &g_liRegCookie);
if (!NT_SUCCESS(status))
{
g_liRegCookie.QuadPart = 0;
return status;
}
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
執行驅動程式,則會輸出當前系統中所有針對登入檔的操作,如下圖所示。
如上的程式碼只能實現登入檔項的監視,而如果需要監控則需要在回撥函數MyLySharkCallback判斷,如果指定登入檔項是需要保護的則直接返回status = STATUS_ACCESS_DENIED;從而達到保護登入檔的目的,核心程式碼如下所示。
// 反登入檔刪除回撥
NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)
{
NTSTATUS status = STATUS_SUCCESS;
UNICODE_STRING ustrRegPath;
// 獲取操作型別
LONG lOperateType = (REG_NOTIFY_CLASS)Argument1;
ustrRegPath.Length = 0;
ustrRegPath.MaximumLength = 1024 * sizeof(WCHAR);
ustrRegPath.Buffer = ExAllocatePool(NonPagedPool, ustrRegPath.MaximumLength);
if (NULL == ustrRegPath.Buffer)
{
return status;
}
RtlZeroMemory(ustrRegPath.Buffer, ustrRegPath.MaximumLength);
// 判斷操作
switch (lOperateType)
{
// 刪除鍵值之前
case RegNtPreDeleteValueKey:
{
// 獲取登入檔路徑
GetFullPath(&ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->Object);
DbgPrint("[刪除鍵值][%wZ][%wZ]\n", &ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->ValueName);
// 如果要刪除指定登入檔項則拒絕
PWCH pszRegister = L"\\REGISTRY\\MACHINE\\SOFTWARE\\lyshark.com";
if (wcscmp(ustrRegPath.Buffer, pszRegister) == 0)
{
DbgPrint("[lyshark] 登入檔項刪除操作已被攔截! \n");
// 拒絕操作
status = STATUS_ACCESS_DENIED;
}
break;
}
default:
break;
}
// 釋放記憶體
if (NULL != ustrRegPath.Buffer)
{
ExFreePool(ustrRegPath.Buffer);
ustrRegPath.Buffer = NULL;
}
return status;
}
執行驅動程式,然後我們嘗試刪除\\LyShark\HKEY_LOCAL_MACHINE\SOFTWARE\lyshark.com裡面的子項,則會提示如下資訊。
當然這裡的RegNtPreDeleteValueKey是指的刪除操作,如果將其替換成RegNtPreSetValueKey,那麼只有當登入檔被建立才會攔截,此時就會變成攔截建立。
// 攔截建立操作
NTSTATUS MyLySharkCallback(_In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2)
{
NTSTATUS status = STATUS_SUCCESS;
UNICODE_STRING ustrRegPath;
// 獲取操作型別
LONG lOperateType = (REG_NOTIFY_CLASS)Argument1;
// 申請記憶體
ustrRegPath.Length = 0;
ustrRegPath.MaximumLength = 1024 * sizeof(WCHAR);
ustrRegPath.Buffer = ExAllocatePool(NonPagedPool, ustrRegPath.MaximumLength);
if (NULL == ustrRegPath.Buffer)
{
return status;
}
RtlZeroMemory(ustrRegPath.Buffer, ustrRegPath.MaximumLength);
// 判斷操作
switch (lOperateType)
{
// 修改鍵值之前
case RegNtPreSetValueKey:
{
// 獲取登入檔路徑
GetFullPath(&ustrRegPath, ((PREG_DELETE_VALUE_KEY_INFORMATION)Argument2)->Object);
// 攔截建立
PWCH pszRegister = L"\\REGISTRY\\MACHINE\\SOFTWARE\\lyshark.com";
if (wcscmp(ustrRegPath.Buffer, pszRegister) == 0)
{
DbgPrint("[lyshark] 登入檔項建立操作已被攔截! \n");
status = STATUS_ACCESS_DENIED;
}
break;
}
default:
break;
}
// 釋放記憶體
if (NULL != ustrRegPath.Buffer)
{
ExFreePool(ustrRegPath.Buffer);
ustrRegPath.Buffer = NULL;
}
return status;
}
載入驅動保護,然後我們嘗試在\\LyShark\HKEY_LOCAL_MACHINE\SOFTWARE\lyshark.com裡面建立一個子項,則會提示建立失敗。
文章作者:lyshark (王瑞)
文章出處:https://www.cnblogs.com/LyShark/p/16820778.html
版權宣告:本部落格文章與程式碼均為學習時整理的筆記,文章 [均為原創] 作品,轉載請 [新增出處] ,您新增出處是我創作的動力!
轉載文章請遵守《中華人民共和國著作權法》相關法律規定或遵守《署名CC BY-ND 4.0國際》規範,合理合規攜帶原創出處轉載,如果不攜帶文章出處,並惡意轉載多篇原創文章被本人發現,本人保留起訴權!
文章出處:https://www.cnblogs.com/LyShark/p/16820778.html
版權宣告:本部落格文章與程式碼均為學習時整理的筆記,文章 [均為原創] 作品,轉載請 [新增出處] ,您新增出處是我創作的動力!
轉載文章請遵守《中華人民共和國著作權法》相關法律規定或遵守《署名CC BY-ND 4.0國際》規範,合理合規攜帶原創出處轉載,如果不攜帶文章出處,並惡意轉載多篇原創文章被本人發現,本人保留起訴權!