PsSetCreateThreadNotify回调PsLookupThreadByThreadId失败

最新推荐文章于 2024-06-21 18:43:30 发布
原创 最新推荐文章于 2024-06-21 18:43:30 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #微软

本文探讨了在PsSetCreateThreadNotify回调中调用PsLookupThreadByThreadId失败的问题,并提供了一种通过二次hook解决该问题的方法,同时提到了另一种基于特征码的解决方案。
PsSetCreateThreadNotify设置的回调函数中调用PsLookupThreadByThreadId失败。 原因在此


在这个回调中因微软的疏忽,VISTA之前的系统调用PsLookupThreadByThreadId查找ThreadId对应的ETHREAD一定会失败。
因此应采用二次hook:
1.首先保存此处的三个参数,然后找到调用ThreadNotifyRoutine的函数的返回地址,替换为hook函数的地址
2.在hook函数中进行所需的操作,之后返回原来的返回地址。


目前这只是个思路,还未实现。(参见《 返回地址HOOK》。注:已稳定实现。)




有人提供了另一个解决的方法,感觉涉及到特征码,通用性不够好,但至少解决了问题。
方法在此
0902horn
关注
返回地址HOOK
0xC0000005
11-25 1181
通过几次栈回溯,找到需要hook的地点,将返回地址替换为自己的hook函数。  这种方法应用场景应该不常见,但对于之前提到的《PsSetCreateThreadNotify回调PsLookupThreadByThreadId失败》,这应该是一个不错的解决方案。下面详细说明。 第一次回溯,找到了上一级调用函数,在这里为“PspCreateThread”。在这里HOOK依然不能成功调用“P
内核态进行进程与线程的监控
輚至消亡
03-21 1086
进程监控主要使用PsSetCreateProcessNotifyEx 线程监控主要使用PsSetCreateThreadNotify 主要需要注意一点就是,这种方式的使用条件是需要强制完整性检查。可以通过/integritycheck选项添加。 或者网上有一种绕过方式, 在调用上面那两个函数前首先调用下面这个函数,如果执行成功即可绕过强制完整性检查。 BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject) { #ifdef _WIN64 ..
[内核编程]线程操作
輚至消亡
07-13 2020
1. 线程枚举 来介绍几个要用到的内核API: PsLookupThreadByThreadId(): NTSTATUS PsLookupThreadByThreadId( IN HANDLE ThreadId, OUT PETHREAD *Thread ); 通过TID获取对应的ETHREAD结构指针。 IoThreadToProcess(): PEPROCESS IoThreadToProcess( IN PETHREAD Thread
驱动层进程和线程操作
qq_41490873的博客
08-25 2191
枚举进程 //根据进程结构获得进程名指针 需要自己申明一下。 NTKERNELAPI PUCHAR PsGetProcessImageFileName( IN PEPROCESS Process ); VOID EnumProcess() { ULONG i = 0; for (i; i < 20000; i += 4) { NTSTATUS status = STATUS_SUCCESS; PEPROCESS Eprocess; status = PsLookupProces
02 全局句柄表
qq_50242229的博客
05-11 183
全局句柄表的TableCode 的元素指的就是EPROCESS 或者 ETHREAD 的头了,不再是 _OBJECT_HANDLE。2.每个进程和线程都有一个唯一的编码 : PID和CID 这两个值其实就是全局句柄表中的索引。1.所有的进程和线程无论是否打开,都在这个表中。
[原创]通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine实现进程与线程监控
追逐光芒,追随内心
12-10 2231
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
PspCreateProcessNotifyRoutine,PspCreateThreadNotifyRoutine,PspLoadImageNotifyRoutine表全部清空
KernelEx的专栏
08-20 5056
RtlInitUnicodeString(&name,L"PsSetCreateProcessNotifyRoutine");RemoveNotifyRoutine((PVOID)MmGetSystemRoutineAddress(&name));RtlInitUnicodeString(&name,L"PsRemoveCreateThreadNotifyRoutine");Rem
PsCreateSystemThread()函数的还原
pureman_mega的博客
06-09 1186
主要是对传入的参数进行检查,再调用PspCreateThread() typedef struct _client_id { PVOID UniqueProcess; PVOID UniqueThread; }CLIENT_ID,* PCLIENT_ID; typedef struct _unknown { UNONG num1; ULONG num2; ...
进程监视函数PsSetCreateProcessNotifyRoutine
ShadowAssassin的专栏
01-02 3587
这两天看书,看到这个函数,感觉挺有意思,就测试了下。从便面意思来看PsSetCreateProcessNotifyRoutine 设置创建进程通知的函数。 The PsSetCreateProcessNotifyRoutine routine adds a driver-supplied callback routine to, or removes it from, a list of
Fluent UDF(五)数据访问宏(3)
最新发布
weixin_48358398的博客
06-21 4226
本文在前两节网格数据获取宏的基础上,进一步介绍了一些在用户自定义函数(UDF)中常用的数据获取宏。这些宏包括:获取线程指针(Lookup_Thread)、获取区域 ID(THREAD_ID)、获取域指针(Get_Domain)、设置边界条件(F_PROFILE)、影子面(THREAD_SHADOW)。本文详细介绍了这些宏的语法结构和使用场景,并提供了相关的UDF示例。
Fluent UDF中根据zone的名字获取ID
SuperUDF的博客
02-12 7764
Fluent UDF中根据zone的名字获取ID Fluent UDF中经常用到thread*类型的指针,一般可以通过如下函数来获取。 Lookup_Thread(Domain*domain, int id) 其中id是边界面的ID或者cell区域的ID,如下图中outlet边界的ID是2。 遗憾的是,网格载入Fluent后,其ID都是无法事先不确定的。很多朋友只有在UDF源码开头用如下代码根据事后查到的ID手动定义,每次网格一变化又得重新在源码里面修改,重新编译,十分影响通用性。 #.
Win64 驱动内核编程-7.内核里操作进程
天使也掉毛
03-05 4857
在内核里操作进程     在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程和 DLL 模块的操作)。本文包括 10 个部分:分别是:枚举进程、暂停进程、恢复进程、结束进程、枚举线程、暂停线
PsLookupProcessByProcessId分析
weixin_30892037的博客
03-13 1620
本文是在讨论枚举进程的时候产生的,枚举进程有很多方法,Ring3就是ZwQuerySystemInformation(),传入SysProcessesAndThreadsInformation这个宏,或者用CreateToolhelp32Snapshot系统快照的方式枚举进程,还用就是用WTSOpenServer这个第三方库的函数,Ring0就是进程活动链表,系统句柄表中枚举。然后就是Ps...
x64 antidebug 不触发PG 补充代码
落笔飞花笑百生的博客
08-05 3300
因为搬家了  还有 板砖很忙 没办法 工头都懂得的~~~~ 先说antiantidebug 都知道 32位的驱动保护  不用VT说白了就是 HOOK过来 HOOK过去  比的是谁的 钩子深  谁的 钩子更多~~~~ 然而 64位呢 很多保护 例如TP/HP/HS 基本就是驱动几个callbacks 应用层 几个钩子 反调试  模拟一场等等    我的 PASS方法呢 例如TP钩子 KIuse
蓝屏的调试艺术[转]
weixin_30537391的博客
05-07 287
作 者: 竹君 原文链接:http://bbs.pediy.com/showthread.php?t=113285 1、前言 当前,恶意程序和杀毒软件对系统控制权的争夺是愈演愈烈,各大杀毒厂商都是挖空心思在系统底层做文章。众多网友也是不甘示弱,都投入到系统底层开发之中,但是不少人是比葫芦画瓢,直接拿别人代码来用,包括我刚开始做的时候也是这样。但是由于种种原因,别人运行正常的代码...
使用 PspTerminateThreadByPointer 强制结束进程
LYSM
06-24 2324
实现过程 我们知道,线程是进程中执行运算的最小单位,是进程中的一个实体,是被系统独立调度和分派的基本单位,线程自己不拥有系统资源,只拥有一点在运行中必不可少的资源,但它可与同属一个进程的其它线程共享进程所拥有的全部资源。一个线程可以创建和撤消另一个线程,同一进程中的多个线程之间可以并发执行。 也就是说,当一个进程中的所有线程都被结束的时候,这个进程也就没有了存在的意义,也随之结束了。这,便是我们本文介绍的这种强制杀进程的实现原理,即把进程中的线程都杀掉,从而让进程消亡,实现间接杀进程的效果。 Windows
APC注入DLL(win7下有问题)
weixin_33725272的博客
03-18 225
voidAPCKernelRoutine(PKAPCpKAPC, PKNORMAL_ROUTINEpUserAPC, PVOIDpContext, PVOIDpSysArg1, PVOIDpSysArg2) ...
进程强杀
zhuhuibeishadiao
04-04 2907
强杀进程 PsTerminateProcessPspTerminateProcess PspTerminateThreadByPointerPspExitThread未导出函数 暴力搜索 特征值 xp的 0x8B55ff8B 0xA16456EC 0x00000124 0x3B08758B 内核地址空间NtQueryXXX / AuxKlibQueryModuleInform
驱动开发:内核操作进线程与模块
LYSHARK
10-21 6914
进程就是活动起来的程序,每一个进程在内核里,都有一个名为EPROCESS的结构记录它的详细信息,其中就包括进程名,PID,PPID,进程路径等,通常在应用层枚举进程只列出所有进程的编号即可,不过在内核层需要把它的 EPROCESS 地址给列举出来。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值