[注意]关于HOOK NtCreateThread的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 2 楼查看第四个参数ProcessHandle,如果是-1就是本进程 2011-1-26 16:16 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 3 楼如果是-1，那肯定是本进程，这个没有疑问。但是如果我自己调用NtCreateThread，参数ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId())呢？那ProcessHandle应该不为-1吧（自己没有测试过，只是觉得OpenProcess应该不会返回伪句柄吧），要是这样可以的话，那对于非-1的ProcessHandle ，还得通过句柄获得对应的进程ID，才能判断是否是远线程 2011-1-26 16:58 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 4 楼内核的话obreferenceobjectbyhandle->_EPROCESS-> PID/PATH来判断用户层的话就直接GetModuleFileNameEx来判断下进程路径就行 2011-1-26 21:20 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 5 楼为什么在NtCreateThread中使用obreferenceobjectbyhandle获取Eprocess总是失败？ NTSTATUS nt = ObReferenceObjectByHandle( ProcessHandle , 0 , NULL , UserMode , &pEprocess, NULL ); if( !NT_SUCCESS(nt) ) { DbgPrint("ObReferenceObjectByHandle err!\n"); } 我调用的有什么错误吗？查看ProcessHandle 的值有点不正常，显示是0x00000001 2011-2-9 14:49 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 6 楼 ObReferenceObjectByHandle( ProcessHandle , PROCESS_ALL_ACCESS , NULL , KernelMode , &pEprocess, NULL ); 2011-2-9 23:32 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 7 楼得到EPROCESS之后对比PsGetCurrentProcess()就行了 2011-2-9 23:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 2 楼查看第四个参数ProcessHandle,如果是-1就是本进程 2011-1-26 16:16 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 3 楼如果是-1，那肯定是本进程，这个没有疑问。但是如果我自己调用NtCreateThread，参数ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId())呢？那ProcessHandle应该不为-1吧（自己没有测试过，只是觉得OpenProcess应该不会返回伪句柄吧），要是这样可以的话，那对于非-1的ProcessHandle ，还得通过句柄获得对应的进程ID，才能判断是否是远线程 2011-1-26 16:58 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 4 楼内核的话obreferenceobjectbyhandle->_EPROCESS-> PID/PATH来判断用户层的话就直接GetModuleFileNameEx来判断下进程路径就行 2011-1-26 21:20 0
qiluword 雪币： 225 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 5 楼为什么在NtCreateThread中使用obreferenceobjectbyhandle获取Eprocess总是失败？ NTSTATUS nt = ObReferenceObjectByHandle( ProcessHandle , 0 , NULL , UserMode , &pEprocess, NULL ); if( !NT_SUCCESS(nt) ) { DbgPrint("ObReferenceObjectByHandle err!\n"); } 我调用的有什么错误吗？查看ProcessHandle 的值有点不正常，显示是0x00000001 2011-2-9 14:49 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 6 楼 ObReferenceObjectByHandle( ProcessHandle , PROCESS_ALL_ACCESS , NULL , KernelMode , &pEprocess, NULL ); 2011-2-9 23:32 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 7 楼得到EPROCESS之后对比PsGetCurrentProcess()就行了 2011-2-9 23:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复