[求助]win7 64位下hook ZwCreateThreadEx拦截不到部分线程咋办？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

猪会被杀掉

雪币： 18

活跃值： (1059)

能力值：

( LV7，RANK：110 )

在线值：

发帖

32

回帖

507

粉丝

46

关注

私信

猪会被杀掉 1: 2 楼

这个API试过没有？

1

2

3

NTSTATUS PsSetCreateThreadNotifyRoutine(
  _In_ PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine
);

2015-8-14 18:54

0

Dormi

雪币： 23

活跃值： (25)

能力值：

( LV3，RANK：20 )

在线值：

发帖

8

回帖

43

粉丝

0

关注

私信

Dormi: 3 楼

[QUOTE=猪会被杀掉;1386629]这个API试过没有？

1

2

3

NTSTATUS PsSetCreateThreadNotifyRoutine(
  _In_ PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine
);

[/QUOTE]

希望可以在ring3下拦截。。这个只是内核通知，是否有一些不通过ZwCreateThreadEx就可以创建线程的方法。。

2015-8-14 18:56

0

猪会被杀掉

雪币： 18

活跃值： (1059)

能力值：

( LV7，RANK：110 )

在线值：

发帖

32

回帖

507

粉丝

46

关注

私信

猪会被杀掉 1: 4 楼

sorry,我也不清楚了.

2015-8-14 18:58

0

Dormi

雪币： 23

活跃值： (25)

能力值：

( LV3，RANK：20 )

在线值：

发帖

8

回帖

43

粉丝

0

关注

私信

Dormi: 5 楼

好吧，谢谢你。

2015-8-14 18:59

0

lialong

雪币： 2528

活跃值： (2407)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

51

粉丝

1

关注

私信

lialong: 6 楼

ZwCreateThreadEx进过SSDT
NtCreateThreadEx就不会
试试这个
然后底层的就楼上说的

2015-8-14 19:04

0

Dormi

雪币： 23

活跃值： (25)

能力值：

( LV3，RANK：20 )

在线值：

发帖

8

回帖

43

粉丝

0

关注

私信

Dormi: 7 楼

不是。。我是说ring3层的ZwCreateThreadEx，我用OD看，这个已经是最底层了，再下去好像就是SharedUserData!SystemCallStub了。、。

2015-8-14 19:16

0

lialong

雪币： 2528

活跃值： (2407)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

51

粉丝

1

关注

私信

lialong: 8 楼

是的，进入内核内核会通过SSDT表去查看调用NtCreateThreadEx
你直接load ntdll 然后再找地址后 HOOK他

2015-8-14 21:31

0

luskyc

雪币： 248

活跃值： (3789)

能力值：

( LV2，RANK：10 )

在线值：

发帖

25

回帖

938

粉丝

11

关注

私信

luskyc: 9 楼

拦截不到，是因为在你hook之前，线程就创建了，或者其他进程调用CreateRemoteThread，你也拦截不到

2015-8-15 00:05

0

Dormi

雪币： 23

活跃值： (25)

能力值：

( LV3，RANK：20 )

在线值：

发帖

8

回帖

43

粉丝

0

关注

私信

Dormi: 10 楼

我使用dbghelp.dll劫持还有没有更早的插入方法吗？

2015-8-15 06:34

0

[求助]win7 64位下hook ZwCreateThreadEx拦截不到部分线程咋办？

账号登录 验证码登录

账号登录

验证码登录