[求助]在内核里调用想获取某应用层线程rip是不是必须用PsGetContextThread-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 2 楼发现PsGetContextThread也是c00000005 2017-8-8 14:35 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 3 楼 PETHREAD peth; NTSTATUS nts1 = PsLookupThreadByThreadId(PsGetCurrentThreadId(), &peth); typedef NTSTATUS(*PSGETCONTEXTTHREAD)(PETHREAD Thread, PCONTEXT Context, KPROCESSOR_MODE AccessMode); PSGETCONTEXTTHREAD psgetcontextthread = (PSGETCONTEXTTHREAD)GetFunctionAddr(L"PsGetContextThread"); CONTEXT context_1; RtlZeroMemory(&context_1, sizeof(CONTEXT)); NTSTATUS nts2 = psgetcontextthread(peth, &context_1, KernelMode); NTSTATUS nts3 = psgetcontextthread(peth, &context_1, UserMode); DbgPrint("%llx %llx %llx, %llx", nts1, nts2, nts3, context_1.Rip); 在驱动自定义的IOCTRL里执行这代码。打印结果为 0 c000000d c0000005, 0 不管是kernelmode还是usermode都失败。 2017-8-8 16:03 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 4 楼请问X64在内核中到底调用哪个函数去获取用户线程的寄存器信息 2017-8-8 16:55 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 5 楼 This function returns the usermode context of the specified thread. This function will fail if the specified thread is a system thread. It will return the wrong answer if the thread is a non-system thread that does not execute in user-mode. 2017-8-8 21:10 0
wx_Mark42_浪子雪币： 201 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_Mark42_浪子 6 楼我用这个函数也是这个错误码，0xc000000005 STATUS_ACCESS_VIOLATION 也不知道为什么 2021-2-24 11:35 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 7 楼 context 这个缓冲区必须在r3 地址。 2021-2-25 01:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 2 楼发现PsGetContextThread也是c00000005 2017-8-8 14:35 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 3 楼 PETHREAD peth; NTSTATUS nts1 = PsLookupThreadByThreadId(PsGetCurrentThreadId(), &peth); typedef NTSTATUS(*PSGETCONTEXTTHREAD)(PETHREAD Thread, PCONTEXT Context, KPROCESSOR_MODE AccessMode); PSGETCONTEXTTHREAD psgetcontextthread = (PSGETCONTEXTTHREAD)GetFunctionAddr(L"PsGetContextThread"); CONTEXT context_1; RtlZeroMemory(&context_1, sizeof(CONTEXT)); NTSTATUS nts2 = psgetcontextthread(peth, &context_1, KernelMode); NTSTATUS nts3 = psgetcontextthread(peth, &context_1, UserMode); DbgPrint("%llx %llx %llx, %llx", nts1, nts2, nts3, context_1.Rip); 在驱动自定义的IOCTRL里执行这代码。打印结果为 0 c000000d c0000005, 0 不管是kernelmode还是usermode都失败。 2017-8-8 16:03 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 4 楼请问X64在内核中到底调用哪个函数去获取用户线程的寄存器信息 2017-8-8 16:55 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 5 楼 This function returns the usermode context of the specified thread. This function will fail if the specified thread is a system thread. It will return the wrong answer if the thread is a non-system thread that does not execute in user-mode. 2017-8-8 21:10 0
wx_Mark42_浪子雪币： 201 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_Mark42_浪子 6 楼我用这个函数也是这个错误码，0xc000000005 STATUS_ACCESS_VIOLATION 也不知道为什么 2021-2-24 11:35 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 7 楼 context 这个缓冲区必须在r3 地址。 2021-2-25 01:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复