[求助]SSDT HOOK ZwCreateThread的问题（已解决）-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 2 楼判断进程的线程数,为0就是创建进程 2011-4-24 22:35 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 3 楼我开始也是这么想的，后来不知道怎么判断看了EPROCESS的定义发现ActiveThreads可以，谢谢了，不过很多病毒貌似用到了远程线程，因为svchost大量操作注册表，也可能不是远程线程的方式，因为我测试一般的远程注入可以拦截到，除非病毒用的不是远程线程。。。 2011-4-27 01:29 0
newcnad 雪币： 314 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	newcnad 4 楼 HOOK ZwCreateThread 在创建主线程的时候能查看PEB里的命令行参数吗？应该怎么做？ 2011-4-28 14:55 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 5 楼没试过，有时间研究下 2011-5-8 12:08 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 6 楼进程内看第一个句柄参数 2012-2-22 15:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 2 楼判断进程的线程数,为0就是创建进程 2011-4-24 22:35 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 3 楼我开始也是这么想的，后来不知道怎么判断看了EPROCESS的定义发现ActiveThreads可以，谢谢了，不过很多病毒貌似用到了远程线程，因为svchost大量操作注册表，也可能不是远程线程的方式，因为我测试一般的远程注入可以拦截到，除非病毒用的不是远程线程。。。 2011-4-27 01:29 0
newcnad 雪币： 314 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	newcnad 4 楼 HOOK ZwCreateThread 在创建主线程的时候能查看PEB里的命令行参数吗？应该怎么做？ 2011-4-28 14:55 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 5 楼没试过，有时间研究下 2011-5-8 12:08 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 6 楼进程内看第一个句柄参数 2012-2-22 15:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复