Ob回调之反向降权破图标驱动源码+易语言调用
Ob回调之反向降权破图标驱动源码+易语言调用
开发环境
Win10 X64/Visual Studio 2019/WDK 10.0 SDK 10.0.19041.0/易语言5.9
今天开源个非常简单的CallBack回调的使用
相信很多人都很熟悉这个回调,一般都是拿来做保护进程使用,但是大部分不知道这个回调还能这么利用,有提权操作当然也有降权,
这些在微软文档也是公开的,只是有时候很难注意到。
先看一下函数解释
NTSTATUS ObRegisterCallbacks(
POB_CALLBACK_REGISTRATION CallbackRegistration,
PVOID *RegistrationHandle
);
参数
CallbackRegistration
指向指定回调例程列表和其他注册信息的 OB_CALLBACK_REGISTRATION 结构的指针。
RegistrationHandle
指向接收标识已注册回调例程集的值的变量的指针。 调用方将此值传递给 ObUnRegisterCallbacks 例程,以取消注册回调集
返回值
ObRegisterCallbacks 返回 NTSTATUS 值。 此例程可能返回以下值之一:
返回代码说明
STATUS_SUCCESS指定的回调例程注册到系统。
STATUS_FLT_INSTANCE_ALTITUDE_COLLISION调用驱动程序或其他驱动程序已经为 CallBackRegistration->海拔高度 指定的高度注册了回调例程。 有关此高度的详细信息,请参阅OB_CALLBACK_REGISTRATION中海拔成员的说明。
STATUS_INVALID_PARAMETER注册中指定的一个或多个参数无效。 ObRegisterCallbacks 可能会返回此错误,例如,如果指定 了 CallBackRegistration->版本的 无效值,或者尝试为不支持回调例程的对象类型注册。
STATUS_ACCESS_DENIED回调例程不驻留在已签名的内核二进制映像中。
STATUS_INSUFFICIENT_RESOURCES尝试分配内存失败。
**** Hidden Message *****
感谢分享 查看本帖隐藏
感谢感谢分享 这个东西有点强啊 我看看是什么 666666666666 谢谢分享
页:
[1]