Win8中的MmVerifyCallbackFunction

2013-12-20 Nie.Meining Coding

看了下Win8中的MmVerifyCallbackFunction,依然守护 ObRegisterCallbacks 和 PspSetCreateProcessNotifyRoutine:

win8verfify1.png

不过检测方案和win7中是一样的:

win8verfify2.png

win8verfify3.png

依然是检测 ((PLDR_DATA_TABLE_ENTRY)pDriverObj->DriverSection)->Flags | 0x20,老方法改掉这个位:

// 用 13 * sizeof(void*) 代替硬编码 0x68,兼容32位系统
*(PULONG)((PCHAR)DriverObject->DriverSection + 13 * sizeof(void*)) |= 0x20

进程创建监控、句柄监控什么的都能正常使用:

win8verfify4.png

win8verfify5.png

其实这种bypass方法只适合搞着玩玩,要做产品的话还是得老老实实买签名。不过感觉回调技术比x86时代在内核中到处勾来勾去好多了,示例代码可以参考MSDN给的sample:http://code.msdn.microsoft.com/windowshardware/ObCallback-Sample-67a47841

发表评论:

Powered by emlog