[求助]TP CreateRemoteThread调用成功但是不执行线程入口函数-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]TP CreateRemoteThread调用成功但是不执行线程入口函数

发表于: 2014-4-12 16:37 12917

[求助]TP CreateRemoteThread调用成功但是不执行线程入口函数

fyfy

2014-4-12 16:37

12917

【求助】TP保护的游戏， CreateRemoteThread调用成功但是不执行线程入口函数，请问有知道怎么解决的大侠吗。

CreateRemoteThread返回了线程句柄0x4C，但是lpStartAddress函数没有被执行

HANDLE WINAPI CreateRemoteThread(
  __in HANDLE hProcess,
  __in LPSECURITY_ATTRIBUTES lpThreadAttributes,
  __in SIZE_T dwStackSize,
  __in LPTHREAD_START_ROUTINE lpStartAddress,
  __in LPVOID lpParameter,
  __in DWORD dwCreationFlags,
  __out  LPDWORD lpThreadId
);

dwState=WaitForSingleObject(hThread, INFINITE); //等待线程结束也正常

bRet=GetExitCodeThread(hThread,&dwExitCode);
但是GetExitCodeThread后dwExitCode是-1

我运行只是对这个TP保护的进程才会这样，我对计算器就没问题，函数被执行了。

请问TP是弄了什么东西，使得创建的线程的入口函数没有被执行，能提示下吗，谢谢

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・1

免费・0

支持

最新回复 (18)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼 HOOK都没有解决好~ 2014-4-12 16:42 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 3 楼 TP R3下HOOK了 NtCreateThread 2014-4-12 16:50 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 4 楼我现在打开进程和创建线程，读写内存，都是ring3下hook，然后跳转到驱动里去执行。现在打开进程，读写内存都没问题，但是创建线程返回了线程句柄，但是入口函数没有被执行。请问你说的hook，是指的那些函数的hook没处理好呢，我用工具没看到相关的创建线程的hook，可能我用的工具扫描不全面，能提示下吗 2014-4-12 16:53 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 5 楼我是创建远程线程，没看到TP有插入dll到我的进程中来ring3 hook下呀，是怎么看TP在我进程的ring3 hook的，谢谢 2014-4-12 16:56 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 6 楼请问TP是通过什么来知道我在他的进程创建线程了呢，从而在我创建的时候把我的线程给咔嚓了 2014-4-12 17:23 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 7 楼 "都是ring3下hook，然后跳转到驱动里去执行。"?r3下可以跳转到驱动里执行? 2014-4-12 17:47 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 8 楼我的意思是，我创建进程，然后我用ioctrl到我自己的驱动里去调用内核函数。还是没明白怎么去解决啊，好笼统，不过还是谢谢 2014-4-12 17:55 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 9 楼哦，我懂啦…… TP挂了好几个内核钩子……而且还在自己进程做了手脚你确认都Bypass完了吗…… 2014-4-12 18:56 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 10 楼他自己进程的没处理，他自己进程的是要处理什么函数？ 2014-4-12 19:17 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 11 楼是在R3下的么？怎么记得是在R0…… 2014-4-12 19:58 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 12 楼大侠能描述具体点么，ring0下的哪个 2014-4-12 21:09 0
逆帅雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	逆帅 13 楼游戏进程内部有个函数被hook了。 CreateRemoteThread 之后游戏进程自身会经过LdrInitialize函数。这个被hook了。你可以用powertool去游戏进程模块看到hook。解决方法。由于有crc扫描。不过只是一定的场景下条件下才会扫。可以事先保存hook的机器码。还原为原始字节。远程调用完毕后。覆盖回去。 2014-4-12 21:18 0
逆帅雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	逆帅 14 楼 dxf这款游戏在之前是boss死后会扫描那个函数hook。现在不清楚。应该也是一样的。 2014-4-12 21:20 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 15 楼我去试下，感谢对帖子的所有恢复的大侠们，更加感谢逆帅这么明确的指明，想必你是已经帅的逆天了。 2014-4-12 21:34 0
dgann 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	dgann 16 楼 CreateRemoteThread在r3下被HOOK了 2014-4-13 08:33 0
永恒YY 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	永恒YY 17 楼 R3hook了那个函数直接回复就行了 2014-4-19 08:18 0
小白壹个雪币： 64 活跃值： (60) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 48 粉丝 1 关注私信	小白壹个 1 18 楼开大转移啦！ 2014-6-19 13:50 0
鬥魚雪币： 345 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	鬥魚 19 楼自学新人相似的问题，挖个帖子，自身调用loadlibrary正常，用远程线程调用，不执行线程函数（用od在loadlibrary下断得出），线程返回正常，求解答，卡在这两天了 2020-4-12 16:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fyfy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼 HOOK都没有解决好~ 2014-4-12 16:42 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 3 楼 TP R3下HOOK了 NtCreateThread 2014-4-12 16:50 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 4 楼我现在打开进程和创建线程，读写内存，都是ring3下hook，然后跳转到驱动里去执行。现在打开进程，读写内存都没问题，但是创建线程返回了线程句柄，但是入口函数没有被执行。请问你说的hook，是指的那些函数的hook没处理好呢，我用工具没看到相关的创建线程的hook，可能我用的工具扫描不全面，能提示下吗 2014-4-12 16:53 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 5 楼我是创建远程线程，没看到TP有插入dll到我的进程中来ring3 hook下呀，是怎么看TP在我进程的ring3 hook的，谢谢 2014-4-12 16:56 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 6 楼请问TP是通过什么来知道我在他的进程创建线程了呢，从而在我创建的时候把我的线程给咔嚓了 2014-4-12 17:23 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 7 楼 "都是ring3下hook，然后跳转到驱动里去执行。"?r3下可以跳转到驱动里执行? 2014-4-12 17:47 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 8 楼我的意思是，我创建进程，然后我用ioctrl到我自己的驱动里去调用内核函数。还是没明白怎么去解决啊，好笼统，不过还是谢谢 2014-4-12 17:55 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 9 楼哦，我懂啦…… TP挂了好几个内核钩子……而且还在自己进程做了手脚你确认都Bypass完了吗…… 2014-4-12 18:56 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 10 楼他自己进程的没处理，他自己进程的是要处理什么函数？ 2014-4-12 19:17 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 11 楼是在R3下的么？怎么记得是在R0…… 2014-4-12 19:58 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 12 楼大侠能描述具体点么，ring0下的哪个 2014-4-12 21:09 0
逆帅雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	逆帅 13 楼游戏进程内部有个函数被hook了。 CreateRemoteThread 之后游戏进程自身会经过LdrInitialize函数。这个被hook了。你可以用powertool去游戏进程模块看到hook。解决方法。由于有crc扫描。不过只是一定的场景下条件下才会扫。可以事先保存hook的机器码。还原为原始字节。远程调用完毕后。覆盖回去。 2014-4-12 21:18 0
逆帅雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	逆帅 14 楼 dxf这款游戏在之前是boss死后会扫描那个函数hook。现在不清楚。应该也是一样的。 2014-4-12 21:20 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 15 楼我去试下，感谢对帖子的所有恢复的大侠们，更加感谢逆帅这么明确的指明，想必你是已经帅的逆天了。 2014-4-12 21:34 0
dgann 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	dgann 16 楼 CreateRemoteThread在r3下被HOOK了 2014-4-13 08:33 0
永恒YY 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	永恒YY 17 楼 R3hook了那个函数直接回复就行了 2014-4-19 08:18 0
小白壹个雪币： 64 活跃值： (60) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 48 粉丝 1 关注私信	小白壹个 1 18 楼开大转移啦！ 2014-6-19 13:50 0
鬥魚雪币： 345 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	鬥魚 19 楼自学新人相似的问题，挖个帖子，自身调用loadlibrary正常，用远程线程调用，不执行线程函数（用od在loadlibrary下断得出），线程返回正常，求解答，卡在这两天了 2020-4-12 16:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复