- 注册时间
- 2021-4-16
- 最后登录
- 2023-11-9
- 在线时间
- 4 小时
编程入门
- 龙马币
- 108
|
Ob回调之反向降权破图标驱动源码+易语言调用
开发环境
Win10 X64/Visual Studio 2019/WDK 10.0 SDK 10.0.19041.0/易语言5.9
今天开源个非常简单的CallBack回调的使用
相信很多人都很熟悉这个回调,一般都是拿来做保护进程使用,但是大部分不知道这个回调还能这么利用,有提权操作当然也有降权,
这些在微软文档也是公开的,只是有时候很难注意到。
先看一下函数解释
- NTSTATUS ObRegisterCallbacks(
- [in] POB_CALLBACK_REGISTRATION CallbackRegistration,
- [out] PVOID *RegistrationHandle
- );
参数
[in] CallbackRegistration
指向指定回调例程列表和其他注册信息的 [color=var(--theme-hyperlink)]OB_CALLBACK_REGISTRATION 结构的指针。
[out] RegistrationHandle
指向接收标识已注册回调例程集的值的变量的指针。 调用方将此值传递给 [color=var(--theme-hyperlink)]ObUnRegisterCallbacks 例程,以取消注册回调集
返回值
ObRegisterCallbacks 返回 NTSTATUS 值。 此例程可能返回以下值之一:
返回代码 | 说明 | | STATUS_SUCCESS | 指定的回调例程注册到系统。 | | STATUS_FLT_INSTANCE_ALTITUDE_COLLISION | 调用驱动程序或其他驱动程序已经为 CallBackRegistration->海拔高度 指定的高度注册了回调例程。 有关此高度的详细信息,请参阅[color=var(--theme-hyperlink)]OB_CALLBACK_REGISTRATION中海拔成员的说明。 | | STATUS_INVALID_PARAMETER | 注册中指定的一个或多个参数无效。 ObRegisterCallbacks 可能会返回此错误,例如,如果指定 了 CallBackRegistration->版本的 无效值,或者尝试为不支持回调例程的对象类型注册。 | | STATUS_ACCESS_DENIED | 回调例程不驻留在已签名的内核二进制映像中。 | | STATUS_INSUFFICIENT_RESOURCES | 尝试分配内存失败。 |
|
|
debra
