[求助]在内核驱动中，如何保护内核线程不被挂起-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 2 楼线程挂起机制是通过KTHREAD里面的SuspendApc来实现的，楼主可以试试篡改这个APC里面的函数。没做过，纯属YY。 2016-9-23 18:14 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 3 楼其实能有心去挂起或者结束你系统线程的肯定就能同时挂起或结束你的两个甚至N个系统线程。把RING3不成熟的想法带到RING0很容易蓝的。 2016-9-26 11:21 0
我是哥布林雪币： 739 活跃值： (2304) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 90 粉丝 1 关注私信	我是哥布林 4 楼挂钩kisuspendthread。。。。。我随便说的 2016-9-26 15:41 0
hnllhuihui 雪币： 67 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 127 粉丝 0 关注私信	hnllhuihui 5 楼最正规的做法: 用 IO Timer 或 DPC Timer 监控内核线程挂起计数! 2016-9-27 19:15 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼然而timer也可以被枚举和结束应该再加一条：把代码放到non-image内存区域，并加上动态vm，以防被内存特征 2016-9-30 20:04 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 7 楼 // Get the process thread list status = ZwQuerySystemInformation(SystemProcessInformation, pInfo, 1024 * 1024, NULL); if ( pInfo->Threads[i].WaitReason != Suspended ) 2016-10-1 00:38 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 8 楼用WorkItem+DpcTimer+AcpiEvent+HalTimer,结合non-image内存，动态vm，各种加密... halTimer是个非常猥琐的方法因为跟KPCRB结构有关，而且不用自己调用API,只要填写结构就行 2016-10-1 00:48 1
ntDownload 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 255 粉丝 0 关注私信	ntDownload 9 楼 cool 2016-10-1 13:58 0
wem 雪币： 515 活跃值： (3242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 241 粉丝 3 关注私信	wem 10 楼学习了 2020-8-24 20:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 2 楼线程挂起机制是通过KTHREAD里面的SuspendApc来实现的，楼主可以试试篡改这个APC里面的函数。没做过，纯属YY。 2016-9-23 18:14 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 3 楼其实能有心去挂起或者结束你系统线程的肯定就能同时挂起或结束你的两个甚至N个系统线程。把RING3不成熟的想法带到RING0很容易蓝的。 2016-9-26 11:21 0
我是哥布林雪币： 739 活跃值： (2304) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 90 粉丝 1 关注私信	我是哥布林 4 楼挂钩kisuspendthread。。。。。我随便说的 2016-9-26 15:41 0
hnllhuihui 雪币： 67 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 127 粉丝 0 关注私信	hnllhuihui 5 楼最正规的做法: 用 IO Timer 或 DPC Timer 监控内核线程挂起计数! 2016-9-27 19:15 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼然而timer也可以被枚举和结束应该再加一条：把代码放到non-image内存区域，并加上动态vm，以防被内存特征 2016-9-30 20:04 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 7 楼 // Get the process thread list status = ZwQuerySystemInformation(SystemProcessInformation, pInfo, 1024 * 1024, NULL); if ( pInfo->Threads[i].WaitReason != Suspended ) 2016-10-1 00:38 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 8 楼用WorkItem+DpcTimer+AcpiEvent+HalTimer,结合non-image内存，动态vm，各种加密... halTimer是个非常猥琐的方法因为跟KPCRB结构有关，而且不用自己调用API,只要填写结构就行 2016-10-1 00:48 1
ntDownload 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 255 粉丝 0 关注私信	ntDownload 9 楼 cool 2016-10-1 13:58 0
wem 雪币： 515 活跃值： (3242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 241 粉丝 3 关注私信	wem 10 楼学习了 2020-8-24 20:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复