[求助]如何通过内核线程handle获得threadID-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

最新回复 (6)
蒋海啸雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 12 粉丝 0 关注私信	蒋海啸 2 楼或者说如何使threadHandle和threadId有对应关系 2010-3-18 14:56 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 3 楼 ObReferenceObjectByHandle得到ethread PsGetThreadId得到TID，2K下硬编码下偏移就可以或者ZwQueryInformationThread->ThreadBasicInformation中就有TID,不过2K未导出 2010-3-18 15:15 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 4 楼 NtQueryInformationThread 多看看API吧 2010-3-18 15:17 0
蒋海啸雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 12 粉丝 0 关注私信	蒋海啸 5 楼我刚才做了一下测试： PsCreateSystemThread( OUT PHANDLE ThreadHandle, IN ULONG DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, IN HANDLE ProcessHandle OPTIONAL, OUT PCLIENT_ID ClientId OPTIONAL, IN PKSTART_ROUTINE StartRoutine, IN PVOID StartContext ); 这个函数里面的ClientId就可以直接找到threadId; ClientId 是一个PCLIENT_ID，定义在wdm.h中，如下： typedef struct _CLIENT_ID { HANDLE UniqueProcess; HANDLE UniqueThread; } CLIENT_ID; typedef CLIENT_ID *PCLIENT_ID; 其中UniqueThread 就是所创建thread的ID。我在一个主进程里面create了两个线程，然后分别查看ClientId ->UniqueThread,和在线程函数里面通过调用PsGetCurrentThreadId得到的结果是一样的。我想问各位高手，通过PsCreateSystemThread中out参数ClientId 来直接获得threadId有没有风险？ 2010-3-18 16:12 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 6 楼 clientid里面本来存放的就是创建的ID，当然没风险 2010-3-18 20:56 0
蒋海啸雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 12 粉丝 0 关注私信	蒋海啸 7 楼谢谢你 2010-3-20 22:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
蒋海啸雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 12 粉丝 0 关注私信	蒋海啸 2 楼或者说如何使threadHandle和threadId有对应关系 2010-3-18 14:56 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 3 楼 ObReferenceObjectByHandle得到ethread PsGetThreadId得到TID，2K下硬编码下偏移就可以或者ZwQueryInformationThread->ThreadBasicInformation中就有TID,不过2K未导出 2010-3-18 15:15 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 4 楼 NtQueryInformationThread 多看看API吧 2010-3-18 15:17 0
蒋海啸雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 12 粉丝 0 关注私信	蒋海啸 5 楼我刚才做了一下测试： PsCreateSystemThread( OUT PHANDLE ThreadHandle, IN ULONG DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, IN HANDLE ProcessHandle OPTIONAL, OUT PCLIENT_ID ClientId OPTIONAL, IN PKSTART_ROUTINE StartRoutine, IN PVOID StartContext ); 这个函数里面的ClientId就可以直接找到threadId; ClientId 是一个PCLIENT_ID，定义在wdm.h中，如下： typedef struct _CLIENT_ID { HANDLE UniqueProcess; HANDLE UniqueThread; } CLIENT_ID; typedef CLIENT_ID *PCLIENT_ID; 其中UniqueThread 就是所创建thread的ID。我在一个主进程里面create了两个线程，然后分别查看ClientId ->UniqueThread,和在线程函数里面通过调用PsGetCurrentThreadId得到的结果是一样的。我想问各位高手，通过PsCreateSystemThread中out参数ClientId 来直接获得threadId有没有风险？ 2010-3-18 16:12 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 6 楼 clientid里面本来存放的就是创建的ID，当然没风险 2010-3-18 20:56 0
蒋海啸雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 12 粉丝 0 关注私信	蒋海啸 7 楼谢谢你 2010-3-20 22:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复