Hacking Windows CE: 如何从线程ID获取线程名称

最新推荐文章于 2024-04-18 20:27:39 发布
最新推荐文章于 2024-04-18 20:27:39 发布 · 126 阅读 · 0
文章标签:

#Windows #thread #数据结构 #XP #Access

本文介绍了如何在不同操作系统上获取线程的入口地址,包括利用Windows NT系列操作系统的NtQueryInformationThread API以及Windows CE上的特定内核数据结构。
在一个线程出现异常行为时,比如说CPU占用率过高,抛出异常等,你一定想知道这个线程是由哪个模块创建的。因此无论在哪个操作系统上,获取线程名称是诊断线程相关问题的重要一步。

从线程ID获取线程名称通常的方法是,先获取该线程的入口地址,然后枚举进程内所有已加载模块,最后判断线程入口地址落在哪个加载模块范围内。枚举进程内已加载模块可用Win32标准的CreateToolhelp32Snapshot/Module32First/Module32Next系列ToolHelp API得到。获取线程入口地址则没有线程的Win32 API可用。不过在Windows NT based操作系统上(包括Windows NT 4.0/2000/XP/2003,等),有一个未公开的Native API可用:NtQueryInformationThread。其声明如下:

DWORDWINAPINtQueryInformationThread(
HANDLEThreadHandle,
THREAD_INFORMATION_CLASSThreadInformationClass,
PVOIDThreadInformation,
ULONGThreadInformationLength,
PULONGReturnLength
);

获取线程入口地址可用:

DWORDGetThreadStartAddress(DWORDdwThreadId)
 ... {
HANDLEhThread=OpenThread(THREAD_ALL_ACCESS,FALSE,dwThreadId);
DWORDretaddr,len,error;
retaddr=len=0;
error=NtQueryInformationThread(hThread,9,&retaddr,sizeof(retaddr),&len);
CloseHandle(hThread);
if(error!=0)
retaddr=0;
returnretaddr;
}

在Windows CE上就没这么幸运了,没有任何现成的API可用。官方Windows CE Base Team的 blog这个问题的回答是可以用Remote Kernel Tracker,不过这需要你build一个特殊的kernel image,enable一些profiler功能-这在显示的问题诊断中显然是不实际的。那么有没有办法不需要什么特殊的配置就可像Windows桌面操作系统那样获得入口地址呢?有是有的,不过需要一些hack手段。仔细研究CE下的Thread内核数据结构,就会发现Thread结构中有一项是记录线程入口地址的。
typedef struct Thread ... {
DWORD_1[3];
PPROCESSpProc;/**//*0C:pointertocurrentprocess*/
PPROCESSpOwnerProc;/**//*10:pointertoownerprocess*/
DWORD_2[18];
DWORDdwStartAddr;/**//*5c:threadPCatcreation,usedtogetthreadname*/
DWORD_3[10];
} THREAD, * PTHREAD; /**/ /*Thread*/

因此要做的就是想办法根据线程ID或handle得到这个数据。再研究,发现线程的Thread内核数据结构可通过句柄得到:

PTHREADpTh = HandleToThread(ThreadHandle);

而且,在Windows CE下,线程ID和其handle的值是一样的!!因此我们可以写一个这样的函数从线程ID拿到入口地址:

DWORDGetThreadStartAddress(DWORDdwThreadId)
 ... {
DWORDdwStartAddress=0;
BOOLfOldMode=SetKMode(TRUE);
PTHREADpTh=HandleToThread((HANDLE)dwThreadId);
if(pTh)
...{
dwStartAddress=(DWORD)MapPtrToProcess((LPVOID)pTh->dwStartAddr,pTh->pOwnerProc->hProc);
}
returndwStartAddress;
}

为了使用这些内核数据结构,我们还需要另外一些辅助结构和函数,比较完整的代码如下。当然,官方肯定是不建议这么做的,但是重要的是解决问题,你说呢。
typedef struct Process ... {
DWORD_1[2];
HANDLEhProc;/**//*08:handleforthisprocess,neededonlyforSC_GetProcFromPtr*/
} PROCESS, * PPROCESS;
typedef struct Thread ... {
DWORD_1[3];
PPROCESSpProc;/**//*0C:pointertocurrentprocess*/
PPROCESSpOwnerProc;/**//*10:pointertoownerprocess*/
DWORD_2[18];
DWORDdwStartAddr;/**//*5c:threadPCatcreation,usedtogetthreadname*/
DWORD_3[10];
} THREAD, * PTHREAD; /**/ /*Thread*/

typedef struct cinfo ... {
characName[4];/**//*00:objecttypeIDstring*/
uchardisp;/**//*04:typeofdispatch*/
uchartype;/**//*05:apihandletype*/
ushortcMethods;/**//*06:#ofmethodsindispatchtable*/
constPFNVOID*ppfnMethods;/**//*08:ptrtoarrayofmethods(inserveraddressspace)*/
constDWORD*pdwSig;/**//*0C:ptrtoarrayofmethodsignatures*/
PPROCESSpServer;/**//*10:ptrtoserverprocess*/
} CINFO; /**/ /*cinfo*/
typedefCINFO * PCINFO;

typedef struct _HDATAHDATA, * PHDATA;
 struct _HDATA ... {
DWORD_1[2];/**//*00:linksforactivehandlelist*/
HANDLEhValue;/**//*08:Currentvalueofhandle(nonce)*/
DWORDlock;/**//*0C:accessinformation*/
DWORDref;/**//*10:referenceinformation*/
constCINFO*pci;/**//*14:ptrtoobjectclassdescriptionstructure*/
PVOIDpvObj;/**//*18:ptrtoobject*/
DWORDdwInfo;/**//*1C:extrahandleinfo*/
} ; /**/ /*20:sizeof(HDATA)*/

#ifdefx86
 struct KDataStruct ... {
LPDWORDlpvTls;/**//*0x000Currentthreadlocalstoragepointer*/
HANDLEahSys[NUM_SYS_HANDLES];/**//*0x004Ifthismoves,changekapi.h*/
DWORD_1[4];
ulonghandleBase;/**//*0x094baseaddressofhandletable*/
} ; /**/ /*KDataStruct*/
#endif
#ifdefARM
 struct KDataStruct ... {
LPDWORDlpvTls;/**//*0x000Currentthreadlocalstoragepointer*/
HANDLEahSys[NUM_SYS_HANDLES];/**//*0x004Ifthismoves,changekapi.h*/
DWORD_1[6];
ulonghandleBase;/**//*0x09chandletablebaseaddress*/
} ; /**/ /*KDataStruct*/
#endif

#define HandleToThread(h)((THREAD*)GetObjectPtrByType((h),SH_CURTHREAD))
#define HANDLE_ADDRESS_MASK0x1ffffffc

void h2p(HANDLEh,PHDATA & phdRet)
 ... {
if((ulong)h<NUM_SYS_HANDLES+SYS_HANDLE_BASE&&(ulong)h>=SYS_HANDLE_BASE)
h=((KDataStruct*)PUserKData)->ahSys[(uint)h-SYS_HANDLE_BASE];
if(h)
...{
phdRet=(PHDATA)(((ulong)h&HANDLE_ADDRESS_MASK)+((KDataStruct*)PUserKData)->handleBase);
if(phdRet->hValue!=h)
phdRet=0;
}
else
phdRet=0;
}

PVOIDGetObjectPtrByType(HANDLEh, int type)
 ... {
PHDATAphd;
h2p(h,phd);
return(phd&&phd->pci&&phd->pci->type==type)?phd->pvObj:0;
}

extern " C " LPVOIDWINAPIMapPtrToProcess(LPVOIDlpv,HANDLEhProc);
 extern " C " BOOLWINAPISetKMode(BOOLfMode);

DWORDGetThreadStartAddress(DWORDdwThreadId)
 ... {
DWORDdwStartAddress=0;
BOOLfOldMode=SetKMode(TRUE);
PTHREADpTh=HandleToThread((HANDLE)dwThreadId);
if(pTh)
...{
dwStartAddress=(DWORD)MapPtrToProcess((LPVOID)pTh->dwStartAddr,pTh->pOwnerProc->hProc);
}
returndwStartAddress;
}
iteye_2449
关注
【信息收集】——3、信息收集指南
Fly_鹏程万里
02-26 4万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 本系列文章只做技术研究与分享,如有恶意利用文章中提及的技术做网络攻击,造成的法律责任,作者概不负责! 安全问题的本质 安全问题的本质是“信...
红队攻防渗透技术实战流程:红队目标信息收集之基础资产信息收集
HACKONE的博客
03-23 2314
在红队渗透测试中,客户的合作至关重要,他们会提供目标资产的基本信息作为初始攻击面。红队的行动范围通常是由客户明确授权界定的,这其中包括但不限于对主域名、下属子公司以及整个供应链体系中的相关资产进行安全测试。红队需严格按照约定的边界执行任务,可能涵盖但不限于对主域名下的各个子域名进行深度侦查,探究子公司间的网络互联情况,以及深入分析供应链各环节的软硬件设施、业务流程和数据交换点,以全方位评估和模拟真实攻击场景下的安全风险。在执行过程中,红队始终保持专业操守,确保所有行动均在合法、合规的前提下进行,并以增强客户
Windows下查看进程中的线程
12-22
Windows下查看进程中的线程
获取线程名称方法(2种)
m0_73944607的博客
05-10 2354
获取线程名称的方法
windows线程,debug时设置线程名称
pxhero2012的专栏
05-19 933
其他人想必会有这样的感觉,早上酣畅淋漓的写完一段代码,心情特别舒适,可是却发现了异常,然后开始debug直到忘记了吃饭,好心情就一点点被消磨掉。这种情况在写多线程代码的时候更是常见,一个工作线程的任务被层层封装,然后才被扔到工作线程队列,我从哪里来是不知道的,甚至于连我在哪里都不知道,设置线程名称,就是为了解决“我在哪里”的问题。在debug时,线程有了名称,查bug的效率会得到提升。  设置线程
全!Web渗透测试:信息收集篇
Appleteachers的博客
05-13 2145
事情是这样的 正准备下班的python开发小哥哥 接到女朋友今晚要加班的电话 并给他发来一张背景模糊的自拍照 敏感的小哥哥心生疑窦,难道会有原谅帽 然后python撸了一段代码 分析照片 分析下来 emmm 拍摄地址居然在 XXX酒店 小哥哥崩溃之余 大呼上当 python分析照片 小哥哥将发给自己的照片原图下载下来 并使用python写了一个脚本 读取到了照片拍摄的详细的地址 详细到了具体的街道和酒店名称 引入exifread模块 首先安装python的exifread模块,用于照片分析 pip inst
《漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞
最新发布
2301_76225520的博客
04-18 1324
以及 LDAP即轻量级目录访问协议都是名称服务,不同的是 LDAP是一个协议,是和 HTTP 一样是通用的,而不止局限于 JAVA.比如用户对象可以有用户名、密码、邮件地址、角色等属性,计算机对象可以有IP地址、MAC地址、操作系统版本等属性。四个系列:< v1.14.2, < v1.13.5, < v1.12.7, < v1.11.6。而用户可以通过目录服务,针对打印机需求,根据分辨率等属性进行搜索获取符合条件的打印机对象。在名称服务中根据打印机名称获取打印机对象,并进行打印操作。
04 渗透测试基础
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
window获得 所有进程 进程下所有线程的信息
mangshe0的专栏
10-13 700
#include &lt;stdio.h&gt;   #include &lt;windows.h&gt;  #include &lt;tlhelp32.h&gt; BOOL   ListProcessThreads(   DWORD   dwOwnerPID   )       {           HANDLE   hThreadSnap   =   INVALID_HANDLE_VAL...
Windows CE 进程、线程和内存管理
sillyrandylau的专栏
08-17 1359
进程、线程、内存管理是一个内核最基本的服务,也是一个内核最主要的组成部分。这几方面的知识是一个软件开发人员必须掌握的基础知识。虽然一个人不懂这些知识也能编写简单的程序,但这样的程序只能算是皮毛。掌握了进程、线程和内存管理方面的知识,就能够充分利用操作系统内核提供的服务,提高你编写的软件的执行效率、更节省资源、更健壮。顺便说一下,在Windows CE.net下可以运行用Visual Studio.
Cheat Engine第6关之关于指针利用的教程
xzji001的博客
10-15 2845
第六关之关于指针利用使用教程,接下来我们将找到内存中的基址,为什么要找指针。
windows下如何查看某个进程有多少个线程,及各个线程的CPU、名称等详细信息
热门推荐
Echo的博客
12-06 1万+
windows下如何查看某个进程有多少个线程,及各个线程的CPU、名称等详细信息
Windows CE中的进程和线程
zhandoushi的专栏
11-14 2586
<br />(1)进程<br />      进程是一个正在运行的应用程序的实例,它由两部分组成:A,管理这个进程的操作系统的内核对象;B,该进程拥有的地址空间。每一个进程都有独占的、受到保护的32MB的地址空间。Windows CE系统最大允许32个独立的进程同时进行。当系统启动的时候,最少有4个默认的进程被启动,即:nk.exe(提供有关内核的服务);filesys.exe(提供有关文件系统的服务);gwes.exe(提供对GUI系统的支持);device.exe(装载和管理设备的驱动程序)。以下是一系
如何获得线程的状态的方法
Tonny_007的IT家园
03-18 3389
如何获得线程的状态的方法 不管是Windows API还是MFC的CWinThread类都没有给出直接获得线程状态的接口或函数。线程的状态分为正在执行、挂起、已经结束三种。利用API函数GetExitCodeThread()时获得的返回码只能判定线程是活着的还是已经结束了,这里“活着的”指的是正在执行或挂起状态。那么如果一个线程还活着,怎样鉴别一个线程是正在执行还是正在挂起呢???令人遗憾的是,
获取当前线程名称
shanshan_blog的博客
12-28 5621
public static String getCurProcessName(Context context) { int pid = android.os.Process.myPid(); ActivityManager mActivityManager = (ActivityManager) context .getSystemService(Conte
Google Hacking语法指南:探索网络漏洞
"Google Hacking语法是一门技术,用于利用Google搜索引擎来发现网络上的公开信息,包括敏感数据、漏洞和安全问题。Google Hacking Database (GHDB) 是一个收集此类查询的数据库,帮助安全研究人员和渗透测试人员学习...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值