-
-
[求助]请问如何在驱动中获取进程的上下文
-
发表于:
2012-3-5 18:05
3519
-
看到一篇文章,为方便转过来
作者:kruglinski(kruglinski_at_sohu_dot_com)
出处:http://hi.baidu.com/kruglinski
时间:2007.06.29
在驱动中可能需要线程上下文才能做一些操作,在不少地方可以得到进线程上下文,下面总结一下我所知道和常用的,如果有漏掉的,请朋友们回帖加上。
方法1:PsSetCreateThreadNotifyRoutine,PslookupThread(Process)ByXXX,可能会被杀
方法2:IP Firewall Hook,进来时都是进行网络通讯的进程上下文,2k,xp,2k3有效,vista不知道
方法3:SSDT Hook通用
方法4:NtQuerySystemInformation,SystemProcessInformation,有时得不到登录用户创建的进/线程列表?
方法5:Dispatch Hook,通用,道理与SSDT Hook相似
方法6:Filter Driver,通用
方法7:Hook PsConvertToGuiThread,到现在为止,我只见过自己用过这个方法,可以有效的得到Ring3用户进程上下文,而且不用像Dispatch Hook那样进来的太频繁
------------------分割线-------------------
上面只说了大致方法,请人指导具体实现的方法,望不吝指教,最好给出代码。谢谢!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
