[讨论]NtQueryInformationThread 过 NGS 的问题-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [讨论]NtQueryInformationThread 过 NGS 的问题

发表于: 2019-7-27 11:35 7797

未解决 [讨论]NtQueryInformationThread 过 NGS 的问题

yyinzlf

2019-7-27 11:35

7797

NGS的保护会检测硬件断点我想实现 HOOK NtQueryInformationThread 来达到自己设置硬件断点。现在的问题是 HOOK 这个函数在

THREADINFOCLASS＝ThreadWow64Context 时清空了ThreadInformation 但是问题来了，游戏中我设置的断点只会触发一次，然后就没有了，谁能给指导下应该如何去做呢？系统X64 目标32位；

PWOW64_CONTEXT threadContext;
PETHREAD target_thread;

pName = PsGetProcessImageFileName( PsGetCurrentProcess());
    ntstaus = ((_NtQueryInformationThread)pfNtQueryInformationThread)(ThreadHandle,ThreadInformationClass,ThreadInformation,ThreadInformationLength,ReturnLength);
    if (NT_SUCCESS(ntstaus)&& ExGetPreviousMode()!=KernelMode)
    {
        if (ThreadInformationClass == ThreadWow64Context &&ThreadHandle!=NULL)
        {
            Status = ObReferenceObjectByHandle(ThreadHandle,THREAD_GET_CONTEXT,*PsThreadType,KernelMode,(PVOID *)&target_thread,NULL);
            if (NT_SUCCESS(Status)&&(_stricmp(pName,"KDC.exe")==0) )
            {
                if (target_thread == PsGetCurrentThread())
                {
                    threadContext = (PWOW64_CONTEXT)ThreadInformation;
                    threadContext->Dr0 = threadContext->Dr1 = threadContext->Dr7 = 0;
                }
            }
            ObDereferenceObject(target_thread);
        }
    }
    return ntstaus;

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2019-7-27 11:36 被yyinzlf编辑，原因：

收藏・3

免费・0

支持

最新回复 (16)
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2 楼呃呃呃昨天问的时候都还是dnf.exe 咋今天就变成kdc.exe了 2019-7-27 11:50 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 3 楼 Sprite雪碧呃呃呃昨天问的时候都还是dnf.exe 咋今天就变成kdc.exe了都是韩服的东西都一样 2019-7-27 11:57 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 4 楼 BOOL __stdcall Wow64GetThreadContext(HANDLE hThread, PWOW64_CONTEXT lpContext) { unsigned int v2; // eax v2 = RtlWow64GetThreadContext(hThread, lpContext); if ( (v2 & 0x80000000) == 0 ) return 1; BaseSetLastNTError(v2); return 0; } 2019-7-27 12:12 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 5 楼 Sprite雪碧 BOOL __stdcall Wow64GetThreadContext(HANDLE hThread, PWOW64_CONT ... 先谢谢您但是 RtlWow64GetThreadContext 这个函数报没有定义？你这个是内核还是R3 的？ 2019-7-27 12:35 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 6 楼函数是内核的 Wow64GetThreadContext 直接声明就能用参数是线程句柄函数的底层实现是 RtlWow64GetThreadContext 应该也是通过 ETHREAD 去取的⑧ 不清楚 RtlWow64GetThreadContext 是从其他文件导入的最后于 2019-7-27 12:54 被Sprite雪碧编辑，原因： 2019-7-27 12:53 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 7 楼 Sprite雪碧函数是内核的 Wow64GetThreadContext 直接声明就能用参数是线程句柄 函数的底层实现是 RtlWow64Get ... 十分感谢我去DBG 看看这个函数不知道 X64下32位程序是不是走这里。再次谢谢 2019-7-27 13:03 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 8 楼 DBG中查不到这两个函数 2019-7-27 13:37 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 9 楼那就是我搞错了。函数是r3的，刚仔细看了下，这玩意最终还是进入的是NtQueryInformationThread。 result = ObReferenceObjectByHandleWithTag((ULONG_PTR)hThread, 0x746C6644, (unsigned __int64)&EThread, 0i64, v93); if ( result >= 0 ) { v77 = PspWow64GetContextThreadOnAmd64((__int64)EThread, (int )v67->m128i_i64, v70); ObfDereferenceObject(EThread); if ( v77 >= 0 && a5 ) (_DWORD *)a5 = 716; result = v77; } 取Context应该就是这个了剩下的应该看得懂吧最后于 2019-7-27 13:59 被Sprite雪碧编辑，原因： 2019-7-27 13:58 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 10 楼问题没有解决不知道这个Wow64GetThreadContext 如何去找地址来HOOK DBG 中看不到 2019-7-27 14:20 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 11 楼 yyinzlf 问题没有解决不知道这个Wow64GetThreadContext 如何去找地址来HOOK DBG 中看不到不是给你说了最终进入了 ntquerythread了吗上面伪代码写的很清楚了 Wow64GetThreadContext 是r3调用的 2019-7-27 14:40 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 12 楼 Sprite雪碧不是给你说了最终进入了 ntquerythread了吗上面伪代码写的很清楚了 Wow64GetThreadContext 是r3调用的汗你上面说是内核代码所以我才看的， 32位进程在 X64下调用 GetContextThread 在内核是走的 NtQueryInformationThread 这个但是我目前面临的问题是如何返回个没有硬件断点的 CONTEXT 给应用层而同时还可以实现自己设定的硬件断点即在内核层 CONTEXT 不是空的、我的实现方式是在0层而非R3 X32下 HOOK NtGetContextThread 就可以办到这点，但是 X64却不是走的这个函数所以目前卡在了 NtQueryInformationThread 这块的处理上最后于 2019-7-27 14:43 被yyinzlf编辑，原因： 2019-7-27 14:42 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 13 楼我这句更正的话已经说的很明白了吧，贴的就是NtQueryInfoThread取Context的代码。你hook query后，判断是不是检测调用的，如果是，直接返回注册没断点的寄存器。如果不是检测调用的，就手动调用这个psp开头的api不就行了 2019-7-27 14:51 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 14 楼你上边的更正没注意到只看贴的代码了不好意思问题是怎么判断是检测调用的？这问题就在这里呢最后于 2019-7-28 19:17 被yyinzlf编辑，原因： 2019-7-27 14:59 0
mb_pgsxqpgq 雪币： 367 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	mb_pgsxqpgq 15 楼 x32都来辣 2020-1-2 17:56 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 16 楼 NGS好像没有r0的检测 2020-1-20 01:14 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 17 楼 GetThreadContext NtQueryInformationThread -> ThreadWow64Context -> PWOW64_CONTEXT 两种方式么？ 2020-8-23 04:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yyinzlf

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2 楼呃呃呃昨天问的时候都还是dnf.exe 咋今天就变成kdc.exe了 2019-7-27 11:50 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 3 楼 Sprite雪碧呃呃呃昨天问的时候都还是dnf.exe 咋今天就变成kdc.exe了都是韩服的东西都一样 2019-7-27 11:57 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 4 楼 BOOL __stdcall Wow64GetThreadContext(HANDLE hThread, PWOW64_CONTEXT lpContext) { unsigned int v2; // eax v2 = RtlWow64GetThreadContext(hThread, lpContext); if ( (v2 & 0x80000000) == 0 ) return 1; BaseSetLastNTError(v2); return 0; } 2019-7-27 12:12 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 5 楼 Sprite雪碧 BOOL __stdcall Wow64GetThreadContext(HANDLE hThread, PWOW64_CONT ... 先谢谢您但是 RtlWow64GetThreadContext 这个函数报没有定义？你这个是内核还是R3 的？ 2019-7-27 12:35 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 6 楼函数是内核的 Wow64GetThreadContext 直接声明就能用参数是线程句柄函数的底层实现是 RtlWow64GetThreadContext 应该也是通过 ETHREAD 去取的⑧ 不清楚 RtlWow64GetThreadContext 是从其他文件导入的最后于 2019-7-27 12:54 被Sprite雪碧编辑，原因： 2019-7-27 12:53 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 7 楼 Sprite雪碧函数是内核的 Wow64GetThreadContext 直接声明就能用参数是线程句柄 函数的底层实现是 RtlWow64Get ... 十分感谢我去DBG 看看这个函数不知道 X64下32位程序是不是走这里。再次谢谢 2019-7-27 13:03 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 8 楼 DBG中查不到这两个函数 2019-7-27 13:37 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 9 楼那就是我搞错了。函数是r3的，刚仔细看了下，这玩意最终还是进入的是NtQueryInformationThread。 result = ObReferenceObjectByHandleWithTag((ULONG_PTR)hThread, 0x746C6644, (unsigned __int64)&EThread, 0i64, v93); if ( result >= 0 ) { v77 = PspWow64GetContextThreadOnAmd64((__int64)EThread, (int )v67->m128i_i64, v70); ObfDereferenceObject(EThread); if ( v77 >= 0 && a5 ) (_DWORD *)a5 = 716; result = v77; } 取Context应该就是这个了剩下的应该看得懂吧最后于 2019-7-27 13:59 被Sprite雪碧编辑，原因： 2019-7-27 13:58 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 10 楼问题没有解决不知道这个Wow64GetThreadContext 如何去找地址来HOOK DBG 中看不到 2019-7-27 14:20 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 11 楼 yyinzlf 问题没有解决不知道这个Wow64GetThreadContext 如何去找地址来HOOK DBG 中看不到不是给你说了最终进入了 ntquerythread了吗上面伪代码写的很清楚了 Wow64GetThreadContext 是r3调用的 2019-7-27 14:40 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 12 楼 Sprite雪碧不是给你说了最终进入了 ntquerythread了吗上面伪代码写的很清楚了 Wow64GetThreadContext 是r3调用的汗你上面说是内核代码所以我才看的， 32位进程在 X64下调用 GetContextThread 在内核是走的 NtQueryInformationThread 这个但是我目前面临的问题是如何返回个没有硬件断点的 CONTEXT 给应用层而同时还可以实现自己设定的硬件断点即在内核层 CONTEXT 不是空的、我的实现方式是在0层而非R3 X32下 HOOK NtGetContextThread 就可以办到这点，但是 X64却不是走的这个函数所以目前卡在了 NtQueryInformationThread 这块的处理上最后于 2019-7-27 14:43 被yyinzlf编辑，原因： 2019-7-27 14:42 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 13 楼我这句更正的话已经说的很明白了吧，贴的就是NtQueryInfoThread取Context的代码。你hook query后，判断是不是检测调用的，如果是，直接返回注册没断点的寄存器。如果不是检测调用的，就手动调用这个psp开头的api不就行了 2019-7-27 14:51 0
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 14 楼你上边的更正没注意到只看贴的代码了不好意思问题是怎么判断是检测调用的？这问题就在这里呢最后于 2019-7-28 19:17 被yyinzlf编辑，原因： 2019-7-27 14:59 0
mb_pgsxqpgq 雪币： 367 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	mb_pgsxqpgq 15 楼 x32都来辣 2020-1-2 17:56 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 16 楼 NGS好像没有r0的检测 2020-1-20 01:14 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 17 楼 GetThreadContext NtQueryInformationThread -> ThreadWow64Context -> PWOW64_CONTEXT 两种方式么？ 2020-8-23 04:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复