[求助]线程回调可以防远程线程么？-编程技术-看雪-安全社区|安全招聘|kanxue.com

1

[求助]线程回调可以防远程线程么？

发表于: 2014-10-20 01:27 6661

[求助]线程回调可以防远程线程么？

cnxxm

活跃值

2014-10-20 01:27

6661

就是这个回调：　PsSetCreateThreadNotifyRoutine

我想在这个回调里面判断是不是远程线程，是的话，就结束这个线程

现在已经能判断是不是远程线程了，但是没法结束这个线程：ＺｗＯｐｅｎＴｈｒｅａｄ返回0xC000000D，说是无效参数。。。但是我用其他的线程ID，就可以正常打开。唯独打不开这个新创建的“线程”。

PsLookupThreadByThreadId 也不行。。。。。（据说这个在WIN7下可以在线程回调中用，但是我得考虑XP啊）

求解啊，可有其他办法干掉这个线程？

源码：

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

ThreadMon.7z （671.73kb，43次下载）

收藏・1

免费

支持

分享

最新回复 (14)
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 2 楼请勿在WindowsXP下配套使用PsSetCreateThreadNotifyRoutine和ＺｗＯｐｅｎＴｈｒｅａｄ,因为操作系统有bug. 你没看错,是操作系统的bug~ 2014-10-20 07:33 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 3 楼 http://blog.csdn.net/supercow/article/details/3219115 2014-10-20 07:38 0
elapseyear 雪币： 326 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 112 粉丝 0 关注私信	elapseyear 4 楼占个座。 VOID (*PCREATE_THREAD_NOTIFY_ROUTINE) ( IN HANDLE ProcessId, IN HANDLE ThreadId, IN BOOLEAN Create ); 怎么判断远程线程的，你在回调里结束线程恐怕做不到。 2014-10-20 09:58 0
何健hj 雪币： 239 活跃值： (133) 能力值： ( LV5，RANK：60 ) 在线值：发帖 51 回帖 234 粉丝 0 关注私信	何健hj 5 楼线程数如果等于1 是进程刚启动的主线程不是"远程线程" 没法理解这种非A即B的逻辑。 2014-10-20 10:48 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 6 楼如果进程已经启动了,你再创建一个远程线程,线程数回会是2 2014-10-20 12:42 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 7 楼如果在回调里面检测到"源进程"和"目的进程"不同,而线程数又是1,说明是进程刚启动 2014-10-20 12:46 0
何健hj 雪币： 239 活跃值： (133) 能力值： ( LV5，RANK：60 ) 在线值：发帖 51 回帖 234 粉丝 0 关注私信	何健hj 8 楼 "源进程"和"目的进程" 不同，线程数>1是什么线程 "源进程"和"目的进程" 相同，线程数>1是什么线程 2014-10-20 15:36 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 9 楼可以防止，终止当前线程就可以了 ZwTerminateThread(NULL, STATUS_SUCCESS) //终止当前线程传递NULL 2014-10-20 16:36 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 10 楼这样是把"注入者"的线程给终止了... 2014-10-20 16:46 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 11 楼 "源进程"和"目的进程" 不同，线程数>1,是CreateRemoteThread产生的线程 (一般认为是"注入") "源进程"和"目的进程" 相同，线程数>1,是线程自身CreateThread(一般认为是正常) "源进程"和"目的进程" 不同，线程数=1,是进程刚启动时候的"主线程" 至少XP下测试是这样 2014-10-20 16:48 0
何健hj 雪币： 239 活跃值： (133) 能力值： ( LV5，RANK：60 ) 在线值：发帖 51 回帖 234 粉丝 0 关注私信	何健hj 12 楼那么你的远程线程的定义就是 "源进程"和"目的进程" 不同 2014-10-20 17:10 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 13 楼找到线程入口patch，ret 8 2014-10-20 17:12 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 14 楼差不多是这样,同时得排除掉进程刚启动时候的主线程. 2014-10-20 17:22 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 1 关注私信	遗失灵魂 15 楼把线程address的开头改成ret即可,这样线程就自己退出了 2014-10-21 09:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

cnxxm

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区