首页
社区
课程
招聘
求助驱动如何判断自己的内核线程是否被暂停呢
发表于: 2022-6-16 07:28 8714

求助驱动如何判断自己的内核线程是否被暂停呢

2022-6-16 07:28
8714

因为要兼容全系统 不能用SSDT函数 不能用符号表 不能用tcb里的变量直接判断 还有啥办法么 头都要想破了


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 3
支持
分享
最新回复 (11)
雪    币: 283
活跃值: (998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
要异步的判断 所以和线程通信这种办法也是不行 
2022-6-16 07:48
0
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
3
那当然是ZwQueryInformationThread
2022-6-16 08:27
0
雪    币: 283
活跃值: (998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
はつゆき 那当然是ZwQueryInformationThread
感谢 是导出函数  我去研究下
2022-6-16 08:34
0
雪    币: 283
活跃值: (998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
はつゆき 那当然是ZwQueryInformationThread
调试了下 在win7上好像不支持 ThreadSuspendCount的获取
2022-6-19 05:29
0
雪    币: 15
活跃值: (3576)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6

黑洞无法被看见,用别的现象来证明黑洞的存在. 同样的道理,线程肯定不知道自己是否被停止,那么用第三方来探测啊. 为什么一定要用暂停计数呢?发散一下思维,用别的标记

最后于 2022-6-19 08:28 被麻木的时间编辑 ,原因:
2022-6-19 08:28
0
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
7
zhangheil 调试了下 在win7上好像不支持 ThreadSuspendCount的获取
我寻思你不应该查ThreadSystemThreadInformation?
2022-6-19 08:33
0
雪    币: 3
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
你需要另外一根线程去判断
2022-6-21 16:49
1
雪    币: 9
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
 你需要用调试器去判断 需要调试器滴滴我 3000一个月
2022-6-21 16:54
0
雪    币: 283
活跃值: (998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
はつゆき 我寻思你不应该查ThreadSystemThreadInformation?
SystemThreadInformation 是NtQuerySystemInformation 吧 ZwQueryInformationThread并没有
2022-7-17 23:33
0
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
11
zhangheil SystemThreadInformation 是NtQuerySystemInformation 吧 ZwQueryInformationThread并没有
https://github.com/processhacker/phnt/blob/0f32b6e51337b0527344e9c280a6bc6e2b333db0/ntpsapi.h#L233
2022-7-17 23:40
0
雪    币: 1282
活跃值: (4570)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
12
暴力找10条特征码,保证兼容,就是有点累
2023-9-12 07:15
0
游客
登录 | 注册 方可回帖
返回
//