[求助]ZwQueryInformationThread 的使用问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
yeyeshun 雪币： 205 活跃值： (2574) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 394 粉丝 13 关注私信	yeyeshun 2 2023-5-29 14:19 2 楼 0 pvStart需要你自己先分配空间，长度也不是sizeof(pvStart) 最后于 2023-5-29 14:20 被yeyeshun编辑，原因：
Hbruce 雪币： 888 活跃值： (1265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	Hbruce 2023-5-29 16:38 3 楼 0 yeyeshun pvStart需要你自己先分配空间，长度也不是sizeof(pvStart) 传入了分配的内存和长度，返回错误长度不匹配，但是最后个参数ReturnLength值一直不变，初始值是多少还是多少
TkBinary 雪币： 2390 活跃值： (9210) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2023-5-29 17:24 4 楼 1 原型: NTSTATUS ZwQueryInformationThread ( _In_ HANDLE ThreadHandle, _In_ THREADINFOCLASS ThreadInformationClass, _In_ PVOID ThreadInformation, _In_ ULONG ThreadInformationLength, _Out_opt_ PULONG ReturnLength ); 微软Api都有套路. 可以第一次调用函数. 调用后获取一下需要申请的空间大小. 如: PVOID buffer = nullptr; ULONG need_size = 0; ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, NULL,0,&need_size); //check.... //申请空间,申请need_size大小.然后重新调用 ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, buffer,need_size,&need_size); //check... //your code .... 尝试下看看.
Hbruce 雪币： 888 活跃值： (1265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	Hbruce 2023-5-29 17:52 5 楼 0 TkBinary 原型:NTSTATUS ZwQueryInformationThread (   _In_ &nbs ... 第一次返回的need_size 还是0，错误还是STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)
wowocock 雪币： 405 活跃值： (1870) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 304 粉丝 19 关注私信	wowocock 1 2023-5-30 11:26 6 楼 1 case ThreadQuerySetWin32StartAddress: if (ThreadInformationLength != sizeof (ULONG_PTR)) { return STATUS_INFO_LENGTH_MISMATCH; } st = ObReferenceObjectByHandle (ThreadHandle, THREAD_QUERY_INFORMATION, PsThreadType, PreviousMode, &Thread, NULL); if (!NT_SUCCESS (st)) { return st; } Win32StartAddressValue = Thread->Win32StartAddress; ObDereferenceObject (Thread); try { (PVOID ) ThreadInformation = Win32StartAddressValue; if (ARGUMENT_PRESENT (ReturnLength) ) { *ReturnLength = sizeof (ULONG_PTR); } } except (EXCEPTION_EXECUTE_HANDLER) { return GetExceptionCode (); } return st;
逆向爱好者雪币： 823 活跃值： (3490) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 109 粉丝 17 关注私信	逆向爱好者 2023-5-31 08:59 7 楼 0 解决没有
Hbruce 雪币： 888 活跃值： (1265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	Hbruce 2023-5-31 09:53 8 楼 0 PVOID pvStart = ExAllocatePool(NonPagedPool, sizeof(PULONG_PTR)); ULONG nLength = 0; state = ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, pvStart, sizeof(PULONG_PTR), &nLength); 这样写成功了不过修改回调地址拦截没生效 KIRQL irql = CloseWriteProf(); (UCHAR)pvStart = 0xC3; OpenWriteProf(irql); KIRQL CloseWriteProf() { KIRQL irql = KeRaiseIrqlToDpcLevel(); ULONG_PTR cr0 = __readcr0(); cr0 &= 0xfffffffffffeffff; _disable(); __writecr0(cr0); return irql; } VOID OpenWriteProf(KIRQL irql) { ULONG_PTR cr0 = __readcr0(); cr0 \|= 0x10000; __writecr0(cr0); _enable(); KeLowerIrql(irql); } 最后于 2023-5-31 10:36 被Hbruce编辑，原因：
Hbruce 雪币： 888 活跃值： (1265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	Hbruce 2023-5-31 11:05 9 楼 0 问题已经解决，感谢各位大神答疑
TkBinary 雪币： 2390 活跃值： (9210) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2023-5-31 11:32 10 楼 0 Hbruce 问题已经解决，感谢各位大神答疑上面方法解决的? 还有修改回调地址可以使用 Attach MDL .....等方式. 最后于 2023-5-31 11:33 被TkBinary编辑，原因：
Hbruce 雪币： 888 活跃值： (1265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	Hbruce 2023-5-31 15:28 11 楼 0 TkBinary Hbruce 问题已经解决，感谢各位大神答疑上面方法解决的?还有修改回调地址可以使用 Attach MDL .....等方式.&nb ... 是的，上面写的获取成功了，修改回调地址上面加入attach后也成功了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

yeyeshun

雪币： 205

活跃值： (2574)

能力值：

( LV7，RANK：140 )

在线值：

发帖

12

回帖

394

粉丝

13

关注

私信

yeyeshun 2 2023-5-29 14:19: 2 楼
0

pvStart需要你自己先分配空间，长度也不是sizeof(pvStart)

最后于 2023-5-29 14:20 被yeyeshun编辑，原因：

Hbruce

雪币： 888

活跃值： (1265)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

37

粉丝

0

关注

私信

Hbruce 2023-5-29 16:38: 3 楼
0

yeyeshun pvStart需要你自己先分配空间，长度也不是sizeof(pvStart)

传入了分配的内存和长度，返回错误长度不匹配，但是最后个参数ReturnLength值一直不变，初始值是多少还是多少

TkBinary

雪币： 2390

活跃值： (9210)

能力值：

( LV13，RANK：385 )

在线值：

发帖

19

回帖

389

粉丝

201

关注

私信

TkBinary 5 2023-5-29 17:24: 4 楼
1

原型:

NTSTATUS ZwQueryInformationThread (
  _In_      HANDLE          ThreadHandle,
  _In_      THREADINFOCLASS ThreadInformationClass,
  _In_      PVOID           ThreadInformation,
  _In_      ULONG           ThreadInformationLength,
  _Out_opt_ PULONG          ReturnLength
);

微软Api都有套路. 可以第一次调用函数. 调用后获取一下需要申请的空间大小.

如:

PVOID buffer = nullptr;
ULONG need_size = 0;
ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, NULL,0,&need_size);
//check....
//申请空间,申请need_size大小.然后重新调用
ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, buffer,need_size,&need_size);
//check...
//your code ....

尝试下看看.

Hbruce

雪币： 888

活跃值： (1265)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

37

粉丝

0

关注

私信

Hbruce 2023-5-29 17:52: 5 楼
0

TkBinary 原型:NTSTATUS ZwQueryInformationThread (   _In_ &nbs ...

第一次返回的need_size 还是0，错误还是STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)

wowocock

雪币： 405

活跃值： (1870)

能力值：

( LV4，RANK：50 )

在线值：

发帖

4

回帖

304

粉丝

19

关注

私信

wowocock 1 2023-5-30 11:26: 6 楼
1

case ThreadQuerySetWin32StartAddress:
        if (ThreadInformationLength != sizeof (ULONG_PTR)) {
            return STATUS_INFO_LENGTH_MISMATCH;
        }

        st = ObReferenceObjectByHandle (ThreadHandle,
                                        THREAD_QUERY_INFORMATION,
                                        PsThreadType,
                                        PreviousMode,
                                        &Thread,
                                        NULL);

        if (!NT_SUCCESS (st)) {
            return st;
        }

        Win32StartAddressValue = Thread->Win32StartAddress;
        ObDereferenceObject (Thread);

        try {
            *(PVOID *) ThreadInformation = Win32StartAddressValue;

            if (ARGUMENT_PRESENT (ReturnLength) ) {
                *ReturnLength = sizeof (ULONG_PTR);
            }
        } except (EXCEPTION_EXECUTE_HANDLER) {
            return GetExceptionCode ();
        }

        return st;

逆向爱好者

雪币： 823

活跃值： (3490)

能力值：

( LV3，RANK：20 )

在线值：

发帖

25

回帖

109

粉丝

17

关注

私信

逆向爱好者 2023-5-31 08:59: 7 楼
0

解决没有

Hbruce

雪币： 888

活跃值： (1265)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

37

粉丝

0

关注

私信

Hbruce 2023-5-31 09:53: 8 楼
0

                            PVOID pvStart = ExAllocatePool(NonPagedPool, sizeof(PULONG_PTR));
                            ULONG nLength = 0;
                            state = ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, pvStart, sizeof(PULONG_PTR), &nLength);

这样写成功了

不过修改回调地址拦截没生效

KIRQL irql = CloseWriteProf();

*(UCHAR*)pvStart = 0xC3;

OpenWriteProf(irql);

KIRQL CloseWriteProf()

{

KIRQL irql = KeRaiseIrqlToDpcLevel();

ULONG_PTR cr0 = __readcr0();

cr0 &= 0xfffffffffffeffff;

_disable();

__writecr0(cr0);