[讨论]NtQueryInformationThread 过 NGS 的问题-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [讨论]NtQueryInformationThread 过 NGS 的问题

2019-7-27 11:35 7587

未解决 [讨论]NtQueryInformationThread 过 NGS 的问题

yyinzlf

2019-7-27 11:35

7587

NGS的保护会检测硬件断点我想实现 HOOK NtQueryInformationThread 来达到自己设置硬件断点。现在的问题是 HOOK 这个函数在

THREADINFOCLASS＝ThreadWow64Context 时清空了ThreadInformation 但是问题来了，游戏中我设置的断点只会触发一次，然后就没有了，谁能给指导下应该如何去做呢？系统X64 目标32位；

PWOW64_CONTEXT threadContext;
PETHREAD target_thread;

pName = PsGetProcessImageFileName( PsGetCurrentProcess());
    ntstaus = ((_NtQueryInformationThread)pfNtQueryInformationThread)(ThreadHandle,ThreadInformationClass,ThreadInformation,ThreadInformationLength,ReturnLength);
    if (NT_SUCCESS(ntstaus)&& ExGetPreviousMode()!=KernelMode)
    {
        if (ThreadInformationClass == ThreadWow64Context &&ThreadHandle!=NULL)
        {
            Status = ObReferenceObjectByHandle(ThreadHandle,THREAD_GET_CONTEXT,*PsThreadType,KernelMode,(PVOID *)&target_thread,NULL);
            if (NT_SUCCESS(Status)&&(_stricmp(pName,"KDC.exe")==0) )
            {
                if (target_thread == PsGetCurrentThread())
                {
                    threadContext = (PWOW64_CONTEXT)ThreadInformation;
                    threadContext->Dr0 = threadContext->Dr1 = threadContext->Dr7 = 0;
                }
            }
            ObDereferenceObject(target_thread);
        }
    }
    return ntstaus;

[培训]科锐软件逆向50期预科班报名即将截止，速来！！！ 50期正式班报名火爆招生中！！！

最后于 2019-7-27 11:36 被yyinzlf编辑，原因：

收藏・3

免费・0

打赏

最新回复 (16)
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 11:50 2 楼 0 呃呃呃昨天问的时候都还是dnf.exe 咋今天就变成kdc.exe了
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 11:57 3 楼 0 Sprite雪碧呃呃呃昨天问的时候都还是dnf.exe 咋今天就变成kdc.exe了都是韩服的东西都一样
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 12:12 4 楼 0 BOOL __stdcall Wow64GetThreadContext(HANDLE hThread, PWOW64_CONTEXT lpContext) { unsigned int v2; // eax v2 = RtlWow64GetThreadContext(hThread, lpContext); if ( (v2 & 0x80000000) == 0 ) return 1; BaseSetLastNTError(v2); return 0; }
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 12:35 5 楼 0 Sprite雪碧 BOOL __stdcall Wow64GetThreadContext(HANDLE hThread, PWOW64_CONT ... 先谢谢您但是 RtlWow64GetThreadContext 这个函数报没有定义？你这个是内核还是R3 的？
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 12:53 6 楼 0 函数是内核的 Wow64GetThreadContext 直接声明就能用参数是线程句柄函数的底层实现是 RtlWow64GetThreadContext 应该也是通过 ETHREAD 去取的⑧ 不清楚 RtlWow64GetThreadContext 是从其他文件导入的最后于 2019-7-27 12:54 被Sprite雪碧编辑，原因：
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 13:03 7 楼 0 Sprite雪碧函数是内核的 Wow64GetThreadContext 直接声明就能用参数是线程句柄 函数的底层实现是 RtlWow64Get ... 十分感谢我去DBG 看看这个函数不知道 X64下32位程序是不是走这里。再次谢谢
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 13:37 8 楼 0 DBG中查不到这两个函数
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 13:58 9 楼 0 那就是我搞错了。函数是r3的，刚仔细看了下，这玩意最终还是进入的是NtQueryInformationThread。 result = ObReferenceObjectByHandleWithTag((ULONG_PTR)hThread, 0x746C6644, (unsigned __int64)&EThread, 0i64, v93); if ( result >= 0 ) { v77 = PspWow64GetContextThreadOnAmd64((__int64)EThread, (int )v67->m128i_i64, v70); ObfDereferenceObject(EThread); if ( v77 >= 0 && a5 ) (_DWORD *)a5 = 716; result = v77; } 取Context应该就是这个了剩下的应该看得懂吧最后于 2019-7-27 13:59 被Sprite雪碧编辑，原因：
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 14:20 10 楼 0 问题没有解决不知道这个Wow64GetThreadContext 如何去找地址来HOOK DBG 中看不到
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 14:40 11 楼 0 yyinzlf 问题没有解决不知道这个Wow64GetThreadContext 如何去找地址来HOOK DBG 中看不到不是给你说了最终进入了 ntquerythread了吗上面伪代码写的很清楚了 Wow64GetThreadContext 是r3调用的
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 14:42 12 楼 0 Sprite雪碧不是给你说了最终进入了 ntquerythread了吗上面伪代码写的很清楚了 Wow64GetThreadContext 是r3调用的汗你上面说是内核代码所以我才看的， 32位进程在 X64下调用 GetContextThread 在内核是走的 NtQueryInformationThread 这个但是我目前面临的问题是如何返回个没有硬件断点的 CONTEXT 给应用层而同时还可以实现自己设定的硬件断点即在内核层 CONTEXT 不是空的、我的实现方式是在0层而非R3 X32下 HOOK NtGetContextThread 就可以办到这点，但是 X64却不是走的这个函数所以目前卡在了 NtQueryInformationThread 这块的处理上最后于 2019-7-27 14:43 被yyinzlf编辑，原因：
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 14:51 13 楼 0 我这句更正的话已经说的很明白了吧，贴的就是NtQueryInfoThread取Context的代码。你hook query后，判断是不是检测调用的，如果是，直接返回注册没断点的寄存器。如果不是检测调用的，就手动调用这个psp开头的api不就行了
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 14:59 14 楼 0 你上边的更正没注意到只看贴的代码了不好意思问题是怎么判断是检测调用的？这问题就在这里呢最后于 2019-7-28 19:17 被yyinzlf编辑，原因：
mb_pgsxqpgq 雪币： 367 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	mb_pgsxqpgq 2020-1-2 17:56 15 楼 0 x32都来辣
program杨雪币： 1202 活跃值： (911) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 2020-1-20 01:14 16 楼 0 NGS好像没有r0的检测
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2020-8-23 04:43 17 楼 0 GetThreadContext NtQueryInformationThread -> ThreadWow64Context -> PWOW64_CONTEXT 两种方式么？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

yyinzlf

发帖

回帖

RANK

关注

私信

他的文章

[讨论]NtQueryInformationThread 过 NGS 的问题

[求助]NtQueryInformationThread CONTEXT

[讨论][求助]非HOOK 方式如何获取其它进程的SOCKET句柄

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 11:50 2 楼 0 呃呃呃昨天问的时候都还是dnf.exe 咋今天就变成kdc.exe了
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 11:57 3 楼 0 Sprite雪碧呃呃呃昨天问的时候都还是dnf.exe 咋今天就变成kdc.exe了都是韩服的东西都一样
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 12:12 4 楼 0 BOOL __stdcall Wow64GetThreadContext(HANDLE hThread, PWOW64_CONTEXT lpContext) { unsigned int v2; // eax v2 = RtlWow64GetThreadContext(hThread, lpContext); if ( (v2 & 0x80000000) == 0 ) return 1; BaseSetLastNTError(v2); return 0; }
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 12:35 5 楼 0 Sprite雪碧 BOOL __stdcall Wow64GetThreadContext(HANDLE hThread, PWOW64_CONT ... 先谢谢您但是 RtlWow64GetThreadContext 这个函数报没有定义？你这个是内核还是R3 的？
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 12:53 6 楼 0 函数是内核的 Wow64GetThreadContext 直接声明就能用参数是线程句柄函数的底层实现是 RtlWow64GetThreadContext 应该也是通过 ETHREAD 去取的⑧ 不清楚 RtlWow64GetThreadContext 是从其他文件导入的最后于 2019-7-27 12:54 被Sprite雪碧编辑，原因：
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 13:03 7 楼 0 Sprite雪碧函数是内核的 Wow64GetThreadContext 直接声明就能用参数是线程句柄 函数的底层实现是 RtlWow64Get ... 十分感谢我去DBG 看看这个函数不知道 X64下32位程序是不是走这里。再次谢谢
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 13:37 8 楼 0 DBG中查不到这两个函数
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 13:58 9 楼 0 那就是我搞错了。函数是r3的，刚仔细看了下，这玩意最终还是进入的是NtQueryInformationThread。 result = ObReferenceObjectByHandleWithTag((ULONG_PTR)hThread, 0x746C6644, (unsigned __int64)&EThread, 0i64, v93); if ( result >= 0 ) { v77 = PspWow64GetContextThreadOnAmd64((__int64)EThread, (int )v67->m128i_i64, v70); ObfDereferenceObject(EThread); if ( v77 >= 0 && a5 ) (_DWORD *)a5 = 716; result = v77; } 取Context应该就是这个了剩下的应该看得懂吧最后于 2019-7-27 13:59 被Sprite雪碧编辑，原因：
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 14:20 10 楼 0 问题没有解决不知道这个Wow64GetThreadContext 如何去找地址来HOOK DBG 中看不到
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 14:40 11 楼 0 yyinzlf 问题没有解决不知道这个Wow64GetThreadContext 如何去找地址来HOOK DBG 中看不到不是给你说了最终进入了 ntquerythread了吗上面伪代码写的很清楚了 Wow64GetThreadContext 是r3调用的
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 14:42 12 楼 0 Sprite雪碧不是给你说了最终进入了 ntquerythread了吗上面伪代码写的很清楚了 Wow64GetThreadContext 是r3调用的汗你上面说是内核代码所以我才看的， 32位进程在 X64下调用 GetContextThread 在内核是走的 NtQueryInformationThread 这个但是我目前面临的问题是如何返回个没有硬件断点的 CONTEXT 给应用层而同时还可以实现自己设定的硬件断点即在内核层 CONTEXT 不是空的、我的实现方式是在0层而非R3 X32下 HOOK NtGetContextThread 就可以办到这点，但是 X64却不是走的这个函数所以目前卡在了 NtQueryInformationThread 这块的处理上最后于 2019-7-27 14:43 被yyinzlf编辑，原因：
Sprite雪碧雪币： 9626 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 2019-7-27 14:51 13 楼 0 我这句更正的话已经说的很明白了吧，贴的就是NtQueryInfoThread取Context的代码。你hook query后，判断是不是检测调用的，如果是，直接返回注册没断点的寄存器。如果不是检测调用的，就手动调用这个psp开头的api不就行了
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2019-7-27 14:59 14 楼 0 你上边的更正没注意到只看贴的代码了不好意思问题是怎么判断是检测调用的？这问题就在这里呢最后于 2019-7-28 19:17 被yyinzlf编辑，原因：
mb_pgsxqpgq 雪币： 367 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	mb_pgsxqpgq 2020-1-2 17:56 15 楼 0 x32都来辣
program杨雪币： 1202 活跃值： (911) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 2020-1-20 01:14 16 楼 0 NGS好像没有r0的检测
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2020-8-23 04:43 17 楼 0 GetThreadContext NtQueryInformationThread -> ThreadWow64Context -> PWOW64_CONTEXT 两种方式么？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复