Ta的论坛

NTSTATUS InjectCreateThread64(HANDLE ProcessId, PUNICODE_STRING pDllPath)
{
    ULONG ReturnLength;
    NTSTATUS status = STATUS_UNSUCCESSFUL;
    PEPROCESS Process = NULL;
    HANDLE ProcessHandle = NULL;
    PVOID pNtDllBase64;
    PVOID pfnLdrLoadDll64;

    status = PsLookupProcessByProcessId((HANDLE)ProcessId, &Process);
    if (NT_SUCCESS(status))
    {
        //Do not inject WOW64 process
        status = STATUS_UNSUCCESSFUL;
        if (PsGetProcessWow64Process(Process) == NULL)
        {
            status = ObOpenObjectByPointer(Process, OBJ_KERNEL_HANDLE, NULL, PROCESS_ALL_ACCESS, NULL, KernelMode, &ProcessHandle);
            if (NT_SUCCESS(status))
            {
                pNtDllBase64 = PsNtDllBase64;
                pfnLdrLoadDll64 = fnLdrLoadDll64;

                if (!pfnLdrLoadDll64)
                {
                    UNICODE_STRING NtdllName;
                    KAPC_STATE kApc;

                    KeStackAttachProcess(Process, &kApc);
                    RtlInitUnicodeString(&NtdllName, L"ntdll.dll");
                    pNtDllBase64 = BBGetUserModule(Process, &NtdllName, FALSE);
                    if (pNtDllBase64)
                    {
                        pfnLdrLoadDll64 = BBGetModuleExport(pNtDllBase64, "LdrLoadDll");
                    }
                    KeUnstackDetachProcess(&kApc);
                }

                if (pfnLdrLoadDll64)
                {
                    PINJECT_BUFFER pBuffer = GetThreadInjectCode64(ProcessHandle, pNtDllBase64, pfnLdrLoadDll64, pDllPath);
                    if (pBuffer)
                    {
                        HANDLE hThread = NULL;
                        OBJECT_ATTRIBUTES ob = { 0 };

                        InitializeObjectAttributes(&ob, NULL, OBJ_KERNEL_HANDLE, NULL, NULL);

                        status = ZwCreateThreadEx(
                            &hThread, THREAD_ALL_ACCESS, &ob,
                            ProcessHandle, pBuffer, NULL,
                            THREAD_CREATE_FLAGS_SKIP_THREAD_ATTACH | THREAD_CREATE_FLAGS_HIDE_FROM_DEBUGGER,
                            0, 0x1000, 0x100000, NULL);

                        if (hThread)
                            ZwClose(hThread);
                    }                    
                }
                ZwClose(ProcessHandle);
            }            
        }
        ObDereferenceObject(Process);
    }

    return status;
}

VCKFC

雪币： 9941

活跃值： (2348)

能力值：

( LV3，RANK：20 )

在线值：

发帖

32

回帖

321

粉丝

16

关注

私信

VCKFC 2020-2-4 14:07: 0

[讨论] 封城、封村、小区限制出入，你是怎么解决吃饭问题的？
打坐过午不食

VCKFC

雪币： 9941

活跃值： (2348)

能力值：

( LV3，RANK：20 )

在线值：

发帖

32

回帖

321

粉丝

16

关注

私信

VCKFC 2020-2-3 11:01: 0

[讨论]看雪的论坛前端是自己的吗？还是网上公用的前端资源？
除了看雪,其它论坛的坚持度,很难以年计算
你看现在他就倒了

VCKFC

雪币： 9941

活跃值： (2348)

能力值：

( LV3，RANK：20 )

在线值：

发帖

32

回帖

321

粉丝

16

关注

私信

VCKFC 2020-1-21 18:04: 0

[求助]内核调用ExAllocatePoolWithTag返回0是怎么回事

hzqst 开启之后内核的所有可执行内存必须经过数字签名验证，无法动态分配可执行内存。需要分配不可执行内存请用NonPagedPoolNx

KMCI学习了 ,

VCKFC

雪币： 9941

活跃值： (2348)

能力值：

( LV3，RANK：20 )

在线值：

发帖

32

回帖

321

粉丝

16

关注

私信

VCKFC 2020-1-21 10:15: 0

[讨论]全局IP拦截转向的原理
不就是代理吗

VCKFC

雪币： 9941

活跃值： (2348)

能力值：

( LV3，RANK：20 )

在线值：

发帖

32

回帖

321

粉丝

16

关注

私信

VCKFC 2020-1-19 18:52: 0

[建议]远离赌博一场豪赌，半年积蓄就没有了
我攒了 5000 多币 , 从不赌博

VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-8-28 16:16 0 [求助]为什么vs2017编译一个空dll都如此大如果在乎大小,就不应该用VS 你可以用VC6生成事实上你可以用VC6的工程,用VS2017来写代码最后用VC6编译生成 ,不用到C++11,生成的体积绝对小
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-8-8 15:45 0 [下载]自己打包了内核符号链接离线版我觉得看雪有必要建这么个镜像
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-8-8 15:44 0 [下载]inter泄露源码速度很快啊
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-7-26 22:54 0 你们都在哪里上班，吃饱喝足聊一聊现在已经吃不饱了,没得聊
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-7-24 16:46 0 [求助]想写一个Ring3的调试器我觉得你方向完全错了滴水的作业是希望你写一个调试器,明白调试的原理但反汇编引擎的侧重点是编译原理,跟调试原理基本不搭边了打个比方,你是学建房子的,你现在认为这砖头质量不行, 开始研究如何烧砖去了你现在要做的是先用已有的引擎把调试器写好.
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-7-23 14:33 0 [求助]想写一个Ring3的调试器这明明是要写一个反汇编引擎嘛,
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-6-5 23:20 0 [原创]碌碌无为自学的这些年只能说时机不对, 夕阳产业,上不了车了.
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-4-25 13:09 0 [讨论]SSD使用寿命基本到了，最近出现新情况，页面错误暴增。这个是页面是缺页是因为内存不够,缺页异常太多引起的
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-4-9 20:25 0 [分享]SandBoxie开源 killpy 没用过这玩意和虚拟机啥区别以前很有名, 相当于轻量化虚拟机,比虚拟机快多了主要用于隔离运行可疑文件
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-2-27 14:45 1 [原创]“Higaisa（黑格莎）”组织近期攻击活动报告朝鲜半岛的APT组织居然用的是国产开源的gh0st
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-2-17 14:21 0 [求助]关于驱动获取模块加载地址(DllBase) 标题：用文档化方法列举系统模块作者：nightxie 时间：2008-10-12 15:07:08 链接：http://bbs.pediy.com/showthread.php?t=74504
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-2-11 13:44 0 [原创] 逆向分析一头雾水,是谷歌拯救了我。 32位的驱动要拦截rdtsc 指令是如何做到的?
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-2-8 21:44 0 [求助][求助]驱动创建远程线程实现远程CALL [原创]从内核在WOW64进程中执行用户态shellcode https://bbs.pediy.com/thread-190596.htm
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-2-8 21:32 0 [求助][求助]驱动创建远程线程实现远程CALL 搜索一下,马上出来 NTSTATUS InjectCreateThread64(HANDLE ProcessId, PUNICODE_STRING pDllPath) { ULONG ReturnLength; NTSTATUS status = STATUS_UNSUCCESSFUL; PEPROCESS Process = NULL; HANDLE ProcessHandle = NULL; PVOID pNtDllBase64; PVOID pfnLdrLoadDll64; status = PsLookupProcessByProcessId((HANDLE)ProcessId, &Process); if (NT_SUCCESS(status)) { //Do not inject WOW64 process status = STATUS_UNSUCCESSFUL; if (PsGetProcessWow64Process(Process) == NULL) { status = ObOpenObjectByPointer(Process, OBJ_KERNEL_HANDLE, NULL, PROCESS_ALL_ACCESS, NULL, KernelMode, &ProcessHandle); if (NT_SUCCESS(status)) { pNtDllBase64 = PsNtDllBase64; pfnLdrLoadDll64 = fnLdrLoadDll64; if (!pfnLdrLoadDll64) { UNICODE_STRING NtdllName; KAPC_STATE kApc; KeStackAttachProcess(Process, &kApc); RtlInitUnicodeString(&NtdllName, L"ntdll.dll"); pNtDllBase64 = BBGetUserModule(Process, &NtdllName, FALSE); if (pNtDllBase64) { pfnLdrLoadDll64 = BBGetModuleExport(pNtDllBase64, "LdrLoadDll"); } KeUnstackDetachProcess(&kApc); } if (pfnLdrLoadDll64) { PINJECT_BUFFER pBuffer = GetThreadInjectCode64(ProcessHandle, pNtDllBase64, pfnLdrLoadDll64, pDllPath); if (pBuffer) { HANDLE hThread = NULL; OBJECT_ATTRIBUTES ob = { 0 }; InitializeObjectAttributes(&ob, NULL, OBJ_KERNEL_HANDLE, NULL, NULL); status = ZwCreateThreadEx( &hThread, THREAD_ALL_ACCESS, &ob, ProcessHandle, pBuffer, NULL, THREAD_CREATE_FLAGS_SKIP_THREAD_ATTACH \| THREAD_CREATE_FLAGS_HIDE_FROM_DEBUGGER, 0, 0x1000, 0x100000, NULL); if (hThread) ZwClose(hThread); } } ZwClose(ProcessHandle); } } ObDereferenceObject(Process); } return status; }
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-2-4 14:07 0 [讨论] 封城、封村、小区限制出入，你是怎么解决吃饭问题的？打坐过午不食
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-2-3 11:01 0 [讨论]看雪的论坛前端是自己的吗？还是网上公用的前端资源？除了看雪,其它论坛的坚持度,很难以年计算你看现在他就倒了
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-1-21 18:04 0 [求助]内核调用ExAllocatePoolWithTag返回0是怎么回事 hzqst 开启之后内核的所有可执行内存必须经过数字签名验证，无法动态分配可执行内存。需要分配不可执行内存请用NonPagedPoolNx KMCI学习了 ,
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-1-21 10:15 0 [讨论]全局IP拦截转向的原理不就是代理吗
VCKFC 雪币： 9941 活跃值： (2348) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 321 粉丝 16 关注私信	VCKFC 2020-1-19 18:52 0 [建议]远离赌博一场豪赌，半年积蓄就没有了我攒了 5000 多币 , 从不赌博

{{ user_info.username }}