首页
社区
课程
招聘
[求助]急啊..R3的ContextThread不经过内核PsGetContextThread吗
发表于: 2018-4-30 23:32 3746

[求助]急啊..R3的ContextThread不经过内核PsGetContextThread吗

2018-4-30 23:32
3746
我已经hook了PsGetContextThread这个内核API了 为啥R3获取线程上下文还是正常执行的呀
难道不经过这个API?难道还有别的入口吗
而且bp下断也没有断下

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 914
活跃值: (2448)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
2
又一个怼硬断的
2018-5-1 02:34
0
雪    币: 844
活跃值: (9816)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
3
ring  3  跟到  0环,看看是哪个调用的
2018-5-1 09:22
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
4
wow64的进程不走这个函数哦
32位进程在64位下的context获取走NtQueryInformationThread
2018-5-1 12:11
0
雪    币: 238
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
张新琪 ring 3 跟到 0环,看看是哪个调用的
跟到syscall之后怎么继续跟呢
2018-5-1 15:31
0
雪    币: 844
活跃值: (9816)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
6
内核中,好像是  MSR  176寄存器,  保存着EIP地址.  读出寄存器内容来,看看是不是一个地址,如果是对它进行反汇编看看.    systemcall  指令好像不是这个了.  网上搜一下.
2018-5-1 16:35
0
游客
登录 | 注册 方可回帖
返回
//