-
-
[旧帖]
[求助]大神的 Hook NtResumeThread 有问题啊
0.00雪花
-
发表于:
2014-8-5 10:19
1854
-
[旧帖] [求助]大神的 Hook NtResumeThread 有问题啊
0.00雪花
网上很流行的ring3通过 Hook NtResumeThread 实现全局注入的方式有些问题,不知道大家碰到没,怎么解决的?
说下我碰到的问题:
帖子中说,创建进程的时候,调用顺序是这样的:
CreateProcess -> CreateProcessInternal -> NtCreateProcess -> ->NtCreateThread -> NtResumeThread
NtResumeThread 正是创建好进程,准备运行时调用的函数。在调用前可以注入自己的进程。
我按照他的方式注入,发现新进程显示不出来。比如hook Notepad.exe , 新进程的界面出不来。
输出信息看了下,发现注入的时候,dll 首先收到了 DLL_PROCESS_ATTACH 消息,可是马上又受到了 DLL_PROCESS_DETACH 消息,很纳闷。
请路过的各位大侠指点迷津。
PS: hook CreateProcess, CreateProcessInternal 都是一样的现象。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
