[求助]在内核中怎么挂起（恢复）一个线程？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]在内核中怎么挂起（恢复）一个线程？ 0.00雪花

发表于: 2015-4-19 23:19 2076

[旧帖] [求助]在内核中怎么挂起（恢复）一个线程？ 0.00雪花

乙酸乙酯

2015-4-19 23:19

2076

在内核中没有导出 ZwSuspendThread 和 NtSuspendThread 函数。
我跟 SuspendThread 到在 ntdll 中的 NtSuspendThread

00000000`77b02af3 b87b010000    mov    eax,17Bh
00000000`77b02af8 0f05                syscall
00000000`77b02afa c3                   ret

索引号是0x17B

有什么办法可以在驱动内核中使用这个函数吗？

或者内核中有没有挂起（恢复）一个用户态线程的更好的办法？

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (2)
TigerLuo 雪币： 200 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	TigerLuo 2 楼 ntdll中我看到有ZwSuspendProcess,ZwSuspendThread这两个函数,你试试. 2015-4-20 09:28 0
乙酸乙酯雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 51 粉丝 0 关注私信	乙酸乙酯 3 楼这样不是要在Ring0中又回到Ring3，再进入Ring0吗？我是想直接在内核中调用SSDT里的17B函数。 2015-4-20 10:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

乙酸乙酯

发帖

回帖

RANK

关注

私信

他的文章

为什么有的键盘按键拿不到扫描码 3935
[求助]汇编指令格式 12541

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
TigerLuo 雪币： 200 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	TigerLuo 2 楼 ntdll中我看到有ZwSuspendProcess,ZwSuspendThread这两个函数,你试试. 2015-4-20 09:28 0
乙酸乙酯雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 51 粉丝 0 关注私信	乙酸乙酯 3 楼这样不是要在Ring0中又回到Ring3，再进入Ring0吗？我是想直接在内核中调用SSDT里的17B函数。 2015-4-20 10:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复