首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[讨论]NtCreateThreadEx 注入问题
发表于: 2014-4-18 17:02 7154

[讨论]NtCreateThreadEx 注入问题

youyouyue 活跃值
2014-4-18 17:02
7154
选择win7注入explorer.exe可以,但是诸如winlogon.exe时,远程线程未被激活,删除注入的dll时,显示貌似winlogon.exe加载我的dll了,不能删除。怎么样能使远程线程运行起来呢,或者其它什么地方的问题,望指教啊

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (8)
Morgion
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
你是如何判断远程线程未激活的?
2014-4-18 21:00
0
youyouyue
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我的dll代码未执行,另外想请教下如何启动一个已经创建好的线程,此线程不是创建时直接启动,我要自己启动它
2014-4-21 09:06
0
Morgion
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
加CREATE_SUSPENDED标志以挂起方式创建线程,然后ResumeThread恢复执行就行了
2014-4-21 09:52
0
youyouyue
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
远程线程创建时我就没用那个参数'是让立即执行的'可是在远程进程中它却是没有执行
2014-4-21 10:42
0
kman
雪    币: 155
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
ring0注入还是ring3注入?如果ring3的话有个隔离保护
2014-4-21 10:53
0
Morgion
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
如果你的线程用OutputDebugString函数输出调试信息的话 被注入的进程如果要是位于SESSION 0 你是看不到调试输出的。。。
2014-4-21 13:05
0
youyouyue
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
有人用ntcreatethreadex注入系统进程成功了么?
2014-4-21 16:08
0
bUgmAny
雪    币: 84
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
9
其实。既然dll删除时候说被XXX进程使用了。你应该是注入成功了。。。。我倒是想知道win7之上注入csrss.exe。。会出现VirtualAllocEx() 申请内存失败的情况。。。所有系统注入smss.exe会蓝屏。。 这玩意是我自己没处理好。。还是根本在r3处理不了。。
2014-4-24 11:19
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//