[求助]win7 64位下hook ZwCreateThreadEx拦截不到部分线程咋办？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 2 楼这个API试过没有？ NTSTATUS PsSetCreateThreadNotifyRoutine( _In_ PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine ); 2015-8-14 18:54 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 3 楼 [QUOTE=猪会被杀掉;1386629]这个API试过没有？ NTSTATUS PsSetCreateThreadNotifyRoutine( _In_ PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine ); [/QUOTE] 希望可以在ring3下拦截。。这个只是内核通知，是否有一些不通过ZwCreateThreadEx就可以创建线程的方法。。 2015-8-14 18:56 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 4 楼 sorry,我也不清楚了. 2015-8-14 18:58 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 5 楼好吧，谢谢你。 2015-8-14 18:59 0
lialong 雪币： 2096 活跃值： (1872) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	lialong 6 楼 ZwCreateThreadEx进过SSDT NtCreateThreadEx就不会试试这个然后底层的就楼上说的 2015-8-14 19:04 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 7 楼不是。。我是说ring3层的ZwCreateThreadEx，我用OD看，这个已经是最底层了，再下去好像就是SharedUserData!SystemCallStub了。、。 2015-8-14 19:16 0
lialong 雪币： 2096 活跃值： (1872) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	lialong 8 楼是的，进入内核内核会通过SSDT表去查看调用NtCreateThreadEx 你直接load ntdll 然后再找地址后 HOOK他 2015-8-14 21:31 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 9 楼拦截不到，是因为在你hook之前，线程就创建了，或者其他进程调用CreateRemoteThread，你也拦截不到 2015-8-15 00:05 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 10 楼我使用dbghelp.dll劫持还有没有更早的插入方法吗？ 2015-8-15 06:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 2 楼这个API试过没有？ NTSTATUS PsSetCreateThreadNotifyRoutine( _In_ PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine ); 2015-8-14 18:54 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 3 楼 [QUOTE=猪会被杀掉;1386629]这个API试过没有？ NTSTATUS PsSetCreateThreadNotifyRoutine( _In_ PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine ); [/QUOTE] 希望可以在ring3下拦截。。这个只是内核通知，是否有一些不通过ZwCreateThreadEx就可以创建线程的方法。。 2015-8-14 18:56 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 4 楼 sorry,我也不清楚了. 2015-8-14 18:58 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 5 楼好吧，谢谢你。 2015-8-14 18:59 0
lialong 雪币： 2096 活跃值： (1872) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	lialong 6 楼 ZwCreateThreadEx进过SSDT NtCreateThreadEx就不会试试这个然后底层的就楼上说的 2015-8-14 19:04 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 7 楼不是。。我是说ring3层的ZwCreateThreadEx，我用OD看，这个已经是最底层了，再下去好像就是SharedUserData!SystemCallStub了。、。 2015-8-14 19:16 0
lialong 雪币： 2096 活跃值： (1872) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	lialong 8 楼是的，进入内核内核会通过SSDT表去查看调用NtCreateThreadEx 你直接load ntdll 然后再找地址后 HOOK他 2015-8-14 21:31 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 9 楼拦截不到，是因为在你hook之前，线程就创建了，或者其他进程调用CreateRemoteThread，你也拦截不到 2015-8-15 00:05 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 10 楼我使用dbghelp.dll劫持还有没有更早的插入方法吗？ 2015-8-15 06:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复