麦洛克菲内核驱动开发第七课

资源ID：56896823 资源大小：1.50MB 全文页数：39页
资源格式： PPT 下载积分：10金贝

快捷下载

账号登录下载

微信登录下载

三方登录下载：

微信扫一扫登录

下载资源需要10金贝

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
支付方式：
验证码：	换一换

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

1、金锄头文库是“C2C”交易模式，即卖家上传的文档直接由买家下载，本站只是中间服务平台，本站所有文档下载所得的收益全部归上传人（卖家）所有，作为网络服务商，若您的权利被侵害请及时联系右侧客服；
2、如你看到网页展示的文档有jinchutou.com水印，是因预览和防盗链等技术需要对部份页面进行转换压缩成图而已，我们并不对上传的文档进行任何编辑或修改，文档下载后都不会有jinchutou.com水印标识，下载后原文更清晰；
3、所有的PPT和DOC文档都被视为“模板”，允许上传人保留章节、目录结构的情况下删减部份的内容；下载前须认真查看，确认无误后再购买；
4、文档大部份都是可以预览的，金锄头文库作为内容存储提供商，无法对各卖家所售文档的真实性、完整性、准确性以及专业性等问题提供审核和保证，请慎重购买；
5、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确)，网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据；
6、如果您还有什么不清楚的或需要我们协助，可以点击右侧栏的客服。

下载须知 | 常见问题汇总

1、会员注册 2、如何支付与充值 3、个人资料信息修改 4、我的收藏和“收藏文件夹” 5、我的读者群和加入读者群 6、我的书签 7、金锄头文库批量上传工具（绿色版）V1.0 8、下载文档（资源）相关问题整理 9、解决下载文档时，自动弹出迅雷的问题 10、下载时为什么支付不成功？

麦洛克菲内核驱动开发第七课

麦洛克菲内核开发第七课注册表callback 和重定向,麦洛克菲 www.mallocfree.com,程君,麦洛克菲www.mallocfree.com,Callback提纲,Callback 相关函数 Callback 原理 Callback 实现功能,注册表重定向提纲,注册表的构成注册表调用,Callback 相关函数,NTSTATUS CmRegisterCallback( IN PEX_CALLBACK_FUNCTION Function, IN PVOID Context, OUT PLARGE_INTEGER Cookie / 时间 ); NTSTATUS CmRegisterCallbackEx( IN PEX_CALLBACK_FUNCTION Function, IN PCUNICODE_STRING Altitude, IN PVOID Driver, IN PVOID Context, OUT PLARGE_INTEGER Cookie, PVOID Reserved ); Vista 以后使用,支持高度NTSTATUS CmUnRegisterCallback( IN LARGE_INTEGER Cookie );,Callback 相关函数,CmSetCallbackObjectContext( IN OUT PVOID Object, IN PLARGE_INTEGER Cookie, IN PVOID NewContext, OUT OPTIONAL PVOID *OldContext );主要用来在一个对象上设置相关的数据结构NTSTATUS CmCallbackGetKeyObjectID( IN PLARGE_INTEGER Cookie, IN PVOID Object, OUT OPTIONAL PULONG_PTR ObjectID, OUT OPTIONAL PCUNICODE_STRING *ObjectName); 主要用来在vista以后得到key 的名字PVOID CmGetBoundTransaction( in PLARGE_INTEGER Cookie, in PVOID Object ); VOID CmGetCallbackVersion( OUT OPTIONAL PULONG Major, OUT OPTIONAL PULONG Minor );,Callback 相关函数,EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( _in PVOID CallbackContext, _in_opt PVOID Argument1, / / REG_NOTIFY_CLASS _in_opt PVOID Argument2 / KEY_INFORMATION ) switch( (REG_NOTIFY_CLASS) Argument1)case RegNtPreDeleteKey :return HOOK_PreNtDeleteKey(PREG_DELETE_KEY_INFORMATION) Argument2);case RegNtPreSetValueKey:return HOOK_PreNtSetValueKey(PREG_SET_VALUE_KEY_INFORMATION) Argument2);case RegNtPreDeleteValueKey:return HOOK_PreNtDeleteValueKey(PREG_DELETE_VALUE_KEY_INFORMATION) Argument2);case RegNtPreRenameKey:return HOOK_PreNtRenameKey(PREG_RENAME_KEY_INFORMATION) Argument2);case RegNtPreCreateKeyEx:return HOOK_PreNtCreateKeyEx(PREG_CREATE_KEY_INFORMATION) Argument2);case RegNtPreCreateKeyEx: / pre 操作return HOOK_PreNtCreateKeyEx(PREG_CREATE_KEY_INFORMATION) Argument2);case RegNtPostCreateKeyEx : / post 操作return HOOK_PostNtCreateKeyEx(PRGG_POST_OPERATION_INFORMATION ) Argument2);,Callback 相关函数,Pre 操作 REG_XXX_KEY_INFORMATION 根据调用的各个不同REG_NOTIFY_CLASS 来决定 POST 操作 typedef struct _REG_POST_OPERATION_INFORMATION PVOID Object; / pre 操作后产生的对象 NTSTATUS Status; / pre 完成后将要返回给系统的状态PVOID PreInformation; / pre 的类信息 NTSTATUS ReturnStatus; / 如果要作修改,将要返回的状态 PVOID CallContext; / PVOID ObjectContext; / 可以pre 设置带到post里面来 PVOID Reserved; REG_POST_OPERATION_INFORMATION,*PREG_POST_OPERATION_INFORMATION;,整体框架,NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) NTSTATUS ntStatus;ntStatus = CmRegisterCallback(MyRegistryCallback, NULL, ,NTSTATUS RegistryCallback( _in PVOID CallbackContext, _in_opt PVOID Argument1, / / REG_NOTIFY_CLASS _in_opt PVOID Argument2 / KEY_INFORMATION ) switch( (REG_NOTIFY_CLASS) Argument1) case RegNtPreDeleteKey : return HOOK_PreNtDeleteKey(PREG_DELETE_KEY_INFORMATION) Argument2);case RegNtPreRenameKey: return HOOK_PreNtRenameKey(PREG_RENAME_KEY_INFORMATION) Argument2);case RegNtPreCreateKeyEx: / pre 操作return HOOK_PreNtCreateKeyEx(PREG_CREATE_KEY_INFORMATION) Argument2);case RegNtPostCreateKeyEx : / post 操作 return HOOK_PostNtCreateKeyEx(PRGG_POST_OPERATION_INFORMATION ) ,NTSTATUS HOOK_PreNtDeleteKey(PREG_DELETE_KEY_INFORMATION Data) NTSTATUS status = 0;PUNICODE_STRING keyName;UNICODE_STRING uTarget;return STATUS_SUCCESS; ,Callback 实现的功能,Monitor 主要用在系统工具上,procmon,regmon Block 防御上，保护上等等 Modify Sandbox,虚拟化等等,Callback 实现的功能,MonitorRegistryCallback routine returns STATUS_SUCCESS BlockRegistryCallback routine NT_SUCCESS(status) equals FALSE, 这时候直接返回状态status 给系统调用,如果注册了post 操作的话,post 操作将不会执行,Callback 实现的功能,Modify 1. 修改REG_xxx_KEY_INFORMATION 结构里面的然后 Callback 函数返回STATUS_SUCCESS 2. 修改REG_POST_OPERATION_INFORMATION 结构里的ReturnStatus,然后Callback 函数返回STATUS_CALLBACK_BYPASS,Callback 设计核心思想,Window 操作系统的设计核心消息分发：应用层分层：从应用到内核回调：也相当于分层，其实回调应该是设计的一种接口形式,Callback 设计核心分层思想,Callback 设计核心思想,ntOpenKey() if(isCallback()return regcalllist->preOpen();if(isCallback()return regcalllist->postOpen(); ,1.在注册的时候把要注册的函数放到全局链表里2.在调用的时候，先判断是否注册，如果注册，调用函数,Callback 原理,NTSTATUSCmRegisterCallback(_in PEX_CALLBACK_FUNCTION Function, _in_opt PVOID Context,_out PLARGE_INTEGER Cookie)PEX_CALLBACK_ROUTINE_BLOCK RoutineBlock;ULONG i;PCM_CALLBACK_CONTEXT_BLOCK CmCallbackContext;PAGED_CODE();CmCallbackContext = (PCM_CALLBACK_CONTEXT_BLOCK)ExAllocatePoolWithTag (PagedPool, sizeof (CM_CALLBACK_CONTEXT_BLOCK), 'bcMC');if( CmCallbackContext = NULL ) return STATUS_INSUFFICIENT_RESOURCES;RoutineBlock = ExAllocateCallBack (Function,CmCallbackContext);if( RoutineBlock = NULL ) ExFreePool(CmCallbackContext);return STATUS_INSUFFICIENT_RESOURCES; / init the contextKeQuerySystemTime(,Callback 原理,

注意事项

本文（麦洛克菲内核驱动开发第七课）为本站会员（kms****20）主动上传，金锄头文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即阅读金锄头文库的“版权提示”【网址:https://www.jinchutou.com/h-59.html】，按提示上传提交保证函及证明材料，经审查核实后我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。