[讨论]为啥枚举并循环挂起线程后再恢复有些进程会挂掉？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]为啥枚举并循环挂起线程后再恢复有些进程会挂掉？

发表于: 2014-5-27 15:04 5891

[讨论]为啥枚举并循环挂起线程后再恢复有些进程会挂掉？

alazif

2014-5-27 15:04

5891

前几天看了装逼兄的 reload and run  game.dll 的帖子里v大的方法  然后发现这几个问题
1：有些进程在触发页异常后没进VEH就死掉了  难道win7下veh的优先级不是除调试器外最高的？
2：在能正常进入veh的进程里如果先附加OD在注册VEH  则VEH函数能正常运行并且能被OD断下反之则进程崩溃.......
3：无论在远线程还是veh处理函数里只要使用OutPutDebugString或CString相关函数进程直接死掉.....
最后发现  循环挂起线程后再恢复有些进程就直接死掉了比如winrar和notepad++这么玩就没问题  但是像有道词典之类的就不行直接就没响应了

这是我的挂起线程的代码：

typedef DWORD (WINAPI *NtSuspendThread)(HANDLE hThread,OUT PULONG PreviousSuspendCount OPTIONAL); 
 
typedef DWORD (WINAPI *NtResumeThread)(HANDLE hThread,OUT PULONG PreviousSuspendCount OPTIONAL);
 
int i=0;
DWORD MayId = GetCurrentThreadId();
HANDLE hThread[1024] = {0};
    NtResumeThread MyResThread = (NtResumeThread)GetProcAddress(GetModuleHandle(L"ntdll.dll"),"NtResumeThread");
    NtSuspendThread MySusThread = (NtSuspendThread)GetProcAddress(GetModuleHandle(L"ntdll.dll"),"NtSuspendThread");
 
NTQUERYSYSTEMINFORMATION NtQSIM = (NTQUERYSYSTEMINFORMATION)GetProcAddress(GetModuleHandle(L"ntdll.dll"),"ZwQuerySystemInformation");
 
    status = NtQSIM(SystemProcessInformation,NULL,0,&retlen);
    pbuf = VirtualAlloc(NULL,retlen,MEM_COMMIT,PAGE_READWRITE);
    if(pbuf == NULL)
        return FALSE;
 
    truelen = retlen;
    status= NtQSIM(SystemProcessInformation,pbuf,truelen,&retlen);      //枚举进程线程
    buf=pbuf;
    IsBreak = FALSE;
     
    do
    {
        pSysProcess=(PSYSTEM_PROCESSES)buf;
        if(pSysProcess->ProcessId == GetCurrentProcessId())
        {
            pSysThread=pSysProcess->Threads;
            for ( i=0;i<pSysProcess->ThreadCount;i++)
            {
                if((DWORD)pSysThread->ClientID.UniqueThread != MayId)   //不是当前线程
                {
                     
                    hThread[i] = OpenThread(THREAD_ALL_ACCESS,FALSE,(DWORD)pSysThread->ClientID.UniqueThread);
                    MySusThread(hThread[i],NULL);
                    pSysThread++;
                }
                 
            }
            IsBreak = TRUE;      //这里是控制外面的循环是否退出 不然找到了还继续循环浪费时间
        }
         
 
        if (pSysProcess->NextEntryDelta==0 || IsBreak)
        {
            break;
        }
        buf = (PVOID)((DWORD)buf + pSysProcess->NextEntryDelta);
    } while (1);
 
    VirtualFree(pbuf,truelen,NULL);
 
 
    for(int j=0;j <= i;j++)
    {
        MyResThread(hThread[j],NULL);
        CloseHandle(hThread[j]);
    }
    

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

收藏・4

免费

支持

最新回复 (8)
lidagogo 雪币： 68 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 2 楼为啥不贴其他代码 2014-5-27 15:55 0
alazif 雪币： 74 活跃值： (363) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 3 楼其他无非注册veh 复制module 设置virtualprotect 咱试过了吧上面代码注释掉就可以正常了甚至吧上面代码单独那出来用都不正常....... 2014-5-27 16:01 0
lidagogo 雪币： 68 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 4 楼 i值你觉得会正常吗？pSysThread++;是当前线程不++？这里会不会死？为什么要自己这样写大牛们的代码不好？我很懒呵呵 2014-5-27 16:08 0
alazif 雪币： 74 活跃值： (363) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 5 楼真心不明白你的什么意思难道还有现成的注入代码？V大那只贴了思路而已本来我用Thread32frist 结果调试发现没效果就照着网上一段枚举线程挂起线程这个是在枚举线程上改的除了挂起外没加其他地方而且在winrar上测试是没问题的 2014-5-27 17:06 0
lidagogo 雪币： 68 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 6 楼 for ( i=0;i<pSysProcess->ThreadCount;i++) { if((DWORD)pSysThread->ClientID.UniqueThread != MayId) //不是当前线程 { hThread[i] = OpenThread(THREAD_ALL_ACCESS,FALSE,(DWORD)pSysThread->ClientID.UniqueThread); MySusThread(hThread[i],NULL); pSysThread++;//如果是当前线程？你就不++？那不是一直在当前线程循环到结束 } } for(int j=0;j <= i;j++) { MyResThread(hThread[j],NULL);//hThread[j] == NULL? （因为你上面没写好这里可能是NULL） CloseHandle(hThread[j]); } 其实我也不确定是不是这些原因导致 2014-5-27 17:13 0
alazif 雪币： 74 活跃值： (363) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 7 楼哦上面那个是我疏忽了....谢谢了再去调试看看不过有些进程就能正常好奇怪？ 2014-5-27 17:44 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 8 楼这是集体fuck 11的节奏吗~~~ 2014-5-27 17:58 0
alazif 雪币： 74 活跃值： (363) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 9 楼不玩dota类的说拿来试试别的东西恩 2014-5-27 18:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

alazif

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
lidagogo 雪币： 68 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 2 楼为啥不贴其他代码 2014-5-27 15:55 0
alazif 雪币： 74 活跃值： (363) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 3 楼其他无非注册veh 复制module 设置virtualprotect 咱试过了吧上面代码注释掉就可以正常了甚至吧上面代码单独那出来用都不正常....... 2014-5-27 16:01 0
lidagogo 雪币： 68 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 4 楼 i值你觉得会正常吗？pSysThread++;是当前线程不++？这里会不会死？为什么要自己这样写大牛们的代码不好？我很懒呵呵 2014-5-27 16:08 0
alazif 雪币： 74 活跃值： (363) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 5 楼真心不明白你的什么意思难道还有现成的注入代码？V大那只贴了思路而已本来我用Thread32frist 结果调试发现没效果就照着网上一段枚举线程挂起线程这个是在枚举线程上改的除了挂起外没加其他地方而且在winrar上测试是没问题的 2014-5-27 17:06 0
lidagogo 雪币： 68 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 6 楼 for ( i=0;i<pSysProcess->ThreadCount;i++) { if((DWORD)pSysThread->ClientID.UniqueThread != MayId) //不是当前线程 { hThread[i] = OpenThread(THREAD_ALL_ACCESS,FALSE,(DWORD)pSysThread->ClientID.UniqueThread); MySusThread(hThread[i],NULL); pSysThread++;//如果是当前线程？你就不++？那不是一直在当前线程循环到结束 } } for(int j=0;j <= i;j++) { MyResThread(hThread[j],NULL);//hThread[j] == NULL? （因为你上面没写好这里可能是NULL） CloseHandle(hThread[j]); } 其实我也不确定是不是这些原因导致 2014-5-27 17:13 0
alazif 雪币： 74 活跃值： (363) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 7 楼哦上面那个是我疏忽了....谢谢了再去调试看看不过有些进程就能正常好奇怪？ 2014-5-27 17:44 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 8 楼这是集体fuck 11的节奏吗~~~ 2014-5-27 17:58 0
alazif 雪币： 74 活跃值： (363) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 9 楼不玩dota类的说拿来试试别的东西恩 2014-5-27 18:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论]为啥枚举并循环挂起线程后再恢复 有些进程会挂掉？

账号登录 验证码登录

[讨论]为啥枚举并循环挂起线程后再恢复有些进程会挂掉？

账号登录

验证码登录