[求助]ZwQueryInformationThread 的使用问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
yeyeshun 雪币： 775 活跃值： (3420) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 400 粉丝 15 关注私信	yeyeshun 2 2 楼 pvStart需要你自己先分配空间，长度也不是sizeof(pvStart) 最后于 2023-5-29 14:20 被yeyeshun编辑，原因： 2023-5-29 14:19 0
Hbruce 雪币： 1572 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 3 楼 yeyeshun pvStart需要你自己先分配空间，长度也不是sizeof(pvStart) 传入了分配的内存和长度，返回错误长度不匹配，但是最后个参数ReturnLength值一直不变，初始值是多少还是多少 2023-5-29 16:38 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 4 楼原型: NTSTATUS ZwQueryInformationThread ( _In_ HANDLE ThreadHandle, _In_ THREADINFOCLASS ThreadInformationClass, _In_ PVOID ThreadInformation, _In_ ULONG ThreadInformationLength, _Out_opt_ PULONG ReturnLength ); 微软Api都有套路. 可以第一次调用函数. 调用后获取一下需要申请的空间大小. 如: PVOID buffer = nullptr; ULONG need_size = 0; ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, NULL,0,&need_size); //check.... //申请空间,申请need_size大小.然后重新调用 ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, buffer,need_size,&need_size); //check... //your code .... 尝试下看看. 2023-5-29 17:24 1
Hbruce 雪币： 1572 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 5 楼 TkBinary 原型:NTSTATUS ZwQueryInformationThread (   _In_ &nbs ... 第一次返回的need_size 还是0，错误还是STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L) 2023-5-29 17:52 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 6 楼 case ThreadQuerySetWin32StartAddress: if (ThreadInformationLength != sizeof (ULONG_PTR)) { return STATUS_INFO_LENGTH_MISMATCH; } st = ObReferenceObjectByHandle (ThreadHandle, THREAD_QUERY_INFORMATION, PsThreadType, PreviousMode, &Thread, NULL); if (!NT_SUCCESS (st)) { return st; } Win32StartAddressValue = Thread->Win32StartAddress; ObDereferenceObject (Thread); try { (PVOID ) ThreadInformation = Win32StartAddressValue; if (ARGUMENT_PRESENT (ReturnLength) ) { *ReturnLength = sizeof (ULONG_PTR); } } except (EXCEPTION_EXECUTE_HANDLER) { return GetExceptionCode (); } return st; 2023-5-30 11:26 1
逆向爱好者雪币： 1553 活跃值： (4603) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 172 粉丝 22 关注私信	逆向爱好者 7 楼解决没有 2023-5-31 08:59 0
Hbruce 雪币： 1572 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 8 楼 PVOID pvStart = ExAllocatePool(NonPagedPool, sizeof(PULONG_PTR)); ULONG nLength = 0; state = ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, pvStart, sizeof(PULONG_PTR), &nLength); 这样写成功了不过修改回调地址拦截没生效 KIRQL irql = CloseWriteProf(); (UCHAR)pvStart = 0xC3; OpenWriteProf(irql); KIRQL CloseWriteProf() { KIRQL irql = KeRaiseIrqlToDpcLevel(); ULONG_PTR cr0 = __readcr0(); cr0 &= 0xfffffffffffeffff; _disable(); __writecr0(cr0); return irql; } VOID OpenWriteProf(KIRQL irql) { ULONG_PTR cr0 = __readcr0(); cr0 \|= 0x10000; __writecr0(cr0); _enable(); KeLowerIrql(irql); } 最后于 2023-5-31 10:36 被Hbruce编辑，原因： 2023-5-31 09:53 0
Hbruce 雪币： 1572 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 9 楼问题已经解决，感谢各位大神答疑 2023-5-31 11:05 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 10 楼 Hbruce 问题已经解决，感谢各位大神答疑上面方法解决的? 还有修改回调地址可以使用 Attach MDL .....等方式. 最后于 2023-5-31 11:33 被TkBinary编辑，原因： 2023-5-31 11:32 0
Hbruce 雪币： 1572 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 11 楼 TkBinary Hbruce 问题已经解决，感谢各位大神答疑上面方法解决的?还有修改回调地址可以使用 Attach MDL .....等方式.&nb ... 是的，上面写的获取成功了，修改回调地址上面加入attach后也成功了 2023-5-31 15:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
yeyeshun 雪币： 775 活跃值： (3420) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 400 粉丝 15 关注私信	yeyeshun 2 2 楼 pvStart需要你自己先分配空间，长度也不是sizeof(pvStart) 最后于 2023-5-29 14:20 被yeyeshun编辑，原因： 2023-5-29 14:19 0
Hbruce 雪币： 1572 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 3 楼 yeyeshun pvStart需要你自己先分配空间，长度也不是sizeof(pvStart) 传入了分配的内存和长度，返回错误长度不匹配，但是最后个参数ReturnLength值一直不变，初始值是多少还是多少 2023-5-29 16:38 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 4 楼原型: NTSTATUS ZwQueryInformationThread ( _In_ HANDLE ThreadHandle, _In_ THREADINFOCLASS ThreadInformationClass, _In_ PVOID ThreadInformation, _In_ ULONG ThreadInformationLength, _Out_opt_ PULONG ReturnLength ); 微软Api都有套路. 可以第一次调用函数. 调用后获取一下需要申请的空间大小. 如: PVOID buffer = nullptr; ULONG need_size = 0; ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, NULL,0,&need_size); //check.... //申请空间,申请need_size大小.然后重新调用 ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, buffer,need_size,&need_size); //check... //your code .... 尝试下看看. 2023-5-29 17:24 1
Hbruce 雪币： 1572 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 5 楼 TkBinary 原型:NTSTATUS ZwQueryInformationThread (   _In_ &nbs ... 第一次返回的need_size 还是0，错误还是STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L) 2023-5-29 17:52 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 6 楼 case ThreadQuerySetWin32StartAddress: if (ThreadInformationLength != sizeof (ULONG_PTR)) { return STATUS_INFO_LENGTH_MISMATCH; } st = ObReferenceObjectByHandle (ThreadHandle, THREAD_QUERY_INFORMATION, PsThreadType, PreviousMode, &Thread, NULL); if (!NT_SUCCESS (st)) { return st; } Win32StartAddressValue = Thread->Win32StartAddress; ObDereferenceObject (Thread); try { (PVOID ) ThreadInformation = Win32StartAddressValue; if (ARGUMENT_PRESENT (ReturnLength) ) { *ReturnLength = sizeof (ULONG_PTR); } } except (EXCEPTION_EXECUTE_HANDLER) { return GetExceptionCode (); } return st; 2023-5-30 11:26 1
逆向爱好者雪币： 1553 活跃值： (4603) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 172 粉丝 22 关注私信	逆向爱好者 7 楼解决没有 2023-5-31 08:59 0
Hbruce 雪币： 1572 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 8 楼 PVOID pvStart = ExAllocatePool(NonPagedPool, sizeof(PULONG_PTR)); ULONG nLength = 0; state = ZwQueryInformationThread(threadHandle, ThreadQuerySetWin32StartAddress, pvStart, sizeof(PULONG_PTR), &nLength); 这样写成功了不过修改回调地址拦截没生效 KIRQL irql = CloseWriteProf(); (UCHAR)pvStart = 0xC3; OpenWriteProf(irql); KIRQL CloseWriteProf() { KIRQL irql = KeRaiseIrqlToDpcLevel(); ULONG_PTR cr0 = __readcr0(); cr0 &= 0xfffffffffffeffff; _disable(); __writecr0(cr0); return irql; } VOID OpenWriteProf(KIRQL irql) { ULONG_PTR cr0 = __readcr0(); cr0 \|= 0x10000; __writecr0(cr0); _enable(); KeLowerIrql(irql); } 最后于 2023-5-31 10:36 被Hbruce编辑，原因： 2023-5-31 09:53 0
Hbruce 雪币： 1572 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 9 楼问题已经解决，感谢各位大神答疑 2023-5-31 11:05 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 10 楼 Hbruce 问题已经解决，感谢各位大神答疑上面方法解决的? 还有修改回调地址可以使用 Attach MDL .....等方式. 最后于 2023-5-31 11:33 被TkBinary编辑，原因： 2023-5-31 11:32 0
Hbruce 雪币： 1572 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 11 楼 TkBinary Hbruce 问题已经解决，感谢各位大神答疑上面方法解决的?还有修改回调地址可以使用 Attach MDL .....等方式.&nb ... 是的，上面写的获取成功了，修改回调地址上面加入attach后也成功了 2023-5-31 15:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复