[求助]win7 64位下hook ZwCreateThreadEx拦截不到部分线程咋办？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
猪会被杀掉雪币： 18 活跃值： (979) 能力值： ( LV7，RANK：110 ) 在线值：发帖 34 回帖 506 粉丝 42 关注私信	猪会被杀掉 1 2015-8-14 18:54 2 楼 0 这个API试过没有？ NTSTATUS PsSetCreateThreadNotifyRoutine( _In_ PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine );
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 2015-8-14 18:56 3 楼 0 [QUOTE=猪会被杀掉;1386629]这个API试过没有？ NTSTATUS PsSetCreateThreadNotifyRoutine( _In_ PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine ); [/QUOTE] 希望可以在ring3下拦截。。这个只是内核通知，是否有一些不通过ZwCreateThreadEx就可以创建线程的方法。。
猪会被杀掉雪币： 18 活跃值： (979) 能力值： ( LV7，RANK：110 ) 在线值：发帖 34 回帖 506 粉丝 42 关注私信	猪会被杀掉 1 2015-8-14 18:58 4 楼 0 sorry,我也不清楚了.
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 2015-8-14 18:59 5 楼 0 好吧，谢谢你。
lialong 雪币： 1606 活跃值： (1437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	lialong 2015-8-14 19:04 6 楼 0 ZwCreateThreadEx进过SSDT NtCreateThreadEx就不会试试这个然后底层的就楼上说的
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 2015-8-14 19:16 7 楼 0 不是。。我是说ring3层的ZwCreateThreadEx，我用OD看，这个已经是最底层了，再下去好像就是SharedUserData!SystemCallStub了。、。
lialong 雪币： 1606 活跃值： (1437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	lialong 2015-8-14 21:31 8 楼 0 是的，进入内核内核会通过SSDT表去查看调用NtCreateThreadEx 你直接load ntdll 然后再找地址后 HOOK他
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2015-8-15 00:05 9 楼 0 拦截不到，是因为在你hook之前，线程就创建了，或者其他进程调用CreateRemoteThread，你也拦截不到
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 2015-8-15 06:34 10 楼 0 我使用dbghelp.dll劫持还有没有更早的插入方法吗？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
猪会被杀掉雪币： 18 活跃值： (979) 能力值： ( LV7，RANK：110 ) 在线值：发帖 34 回帖 506 粉丝 42 关注私信	猪会被杀掉 1 2015-8-14 18:54 2 楼 0 这个API试过没有？ NTSTATUS PsSetCreateThreadNotifyRoutine( _In_ PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine );
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 2015-8-14 18:56 3 楼 0 [QUOTE=猪会被杀掉;1386629]这个API试过没有？ NTSTATUS PsSetCreateThreadNotifyRoutine( _In_ PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine ); [/QUOTE] 希望可以在ring3下拦截。。这个只是内核通知，是否有一些不通过ZwCreateThreadEx就可以创建线程的方法。。
猪会被杀掉雪币： 18 活跃值： (979) 能力值： ( LV7，RANK：110 ) 在线值：发帖 34 回帖 506 粉丝 42 关注私信	猪会被杀掉 1 2015-8-14 18:58 4 楼 0 sorry,我也不清楚了.
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 2015-8-14 18:59 5 楼 0 好吧，谢谢你。
lialong 雪币： 1606 活跃值： (1437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	lialong 2015-8-14 19:04 6 楼 0 ZwCreateThreadEx进过SSDT NtCreateThreadEx就不会试试这个然后底层的就楼上说的
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 2015-8-14 19:16 7 楼 0 不是。。我是说ring3层的ZwCreateThreadEx，我用OD看，这个已经是最底层了，再下去好像就是SharedUserData!SystemCallStub了。、。
lialong 雪币： 1606 活跃值： (1437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	lialong 2015-8-14 21:31 8 楼 0 是的，进入内核内核会通过SSDT表去查看调用NtCreateThreadEx 你直接load ntdll 然后再找地址后 HOOK他
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2015-8-15 00:05 9 楼 0 拦截不到，是因为在你hook之前，线程就创建了，或者其他进程调用CreateRemoteThread，你也拦截不到
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 2015-8-15 06:34 10 楼 0 我使用dbghelp.dll劫持还有没有更早的插入方法吗？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复