[原创]通过对PsSetCreateThreadNotifyRoutine的逆向分析得出的结果来实现反线程监控-编程技术-看雪-安全社区|安全招聘|kanxue.com

1900

2021-10-22 20:27

23599

本文通过对PsSetCreateThreadNotifyRoutine的逆向来实现反线程监控

在IDA中查看PsSetCreateThreadNotifyRoutine的反汇编代码如下

发现和PsSetCreateProcessNotifyRoutineEx的实现不能说很像只能说一摸一样。那就不再叙述了，看上面那篇就好

下图中可以得知，从PsSetCreateThreadNotifyRoutine中将0x56BE作为特征码即可找到线程数组

最后于 2021-10-22 20:28 被1900编辑，原因：

收藏・10

免费・3

支持

最新回复 (2)
稀有金属雪币： 702 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 19 粉丝 15 关注私信	稀有金属 2 楼线程回调函数所属的模块，你试过没？ 2022-5-30 15:22 0
1900 雪币： 22413 活跃值： (25361) 能力值： ( LV15，RANK：910 ) 在线值：发帖 95 回帖 162 粉丝 551 关注私信	1900 6 3 楼稀有金属线程回调函数所属的模块，你试过没？没有。。 2022-5-30 18:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

1900

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
稀有金属雪币： 702 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 19 粉丝 15 关注私信	稀有金属 2 楼线程回调函数所属的模块，你试过没？ 2022-5-30 15:22 0
1900 雪币： 22413 活跃值： (25361) 能力值： ( LV15，RANK：910 ) 在线值：发帖 95 回帖 162 粉丝 551 关注私信	1900 6 3 楼稀有金属线程回调函数所属的模块，你试过没？没有。。 2022-5-30 18:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复