[求助]关于HOOK ZwTerminateThread 的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 2 楼 Deference一下看看 2008-7-28 22:18 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 3 楼有什么区别呢? NTSTATUS HookZwTerminateProcess( IN PHANDLE ProcessHandle, IN NTSTATUS ExitStatus) { NTSTATUS ntstatus; PEPROCESS eprocFromHandle; ntstatus = ObReferenceObjectByHandle(ProcessHandle,GENERIC_READ,NULL,KernelMode,&eprocFromHandle,0); if(!NT_SUCCESS(ntstatus)) return STATUS_ACCESS_DENIED; if((DWORD)eprocFromHandle == (DWORD)eprocBeingProtect) { ntstatus = STATUS_ACCESS_DENIED; } else ntstatus = ((ZWTERMINATEPROCESS)(OrgZwTerminateProcess))( ProcessHandle, ExitStatus); return ntstatus; } 这是我处理TerminateProcess的代码```没有问题``` 2008-7-28 22:21 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 4 楼同dami R以后要D一下，因为引用了额。不D一下不知道会不会变成Zombie Generator~~~ NTKERNELAPI PEPROCESS PsGetThreadProcess( IN PETHREAD Thread ); 把硬编码改改用这个。或者使用NtQueryInformationThread。你应该发一下错误代码的。 2008-7-28 22:37 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 5 楼 IN PHANDLE ThreadHandle PHANDLE? 注意Dereference ThreadHandle=0特殊判断下 ObReferenceObjectByHandle最好是UserMode。 DesiredAccess用0 2008-7-28 22:52 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 6 楼炉子牛来了。 2008-7-28 23:15 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 7 楼我现在很奇怪为什么ThreadHandle声明为PHANDLE还能传给ObReferenceObjectByHandle而不出错 - -# 顺道捏大米 2008-7-29 07:50 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 8 楼感谢大家的帮助`` 代码已经改过来了``` NTSTATUS HookZwTerminateThread( IN HANDLE ThreadHandle, IN NTSTATUS ExitStatus) { NTSTATUS ntstatus; PETHREAD eThreadBKill; DWORD ThreadProcess; if(ThreadHandle == 0) return STATUS_SUCCESS; ntstatus = ObReferenceObjectByHandle(ThreadHandle,0,NULL,UserMode,&eThreadBKill,0); if(!NT_SUCCESS(ntstatus)) return STATUS_UNSUCCESSFUL; ThreadProcess = (DWORD)PsGetThreadProcess(eThreadBKill); //((DWORD )((DWORD)eThreadBKill + 0x220)); if (ThreadProcess == (DWORD)eprocBeingProtect) ntstatus = STATUS_UNSUCCESSFUL; else ntstatus = ((ZWTERMINATETHREAD)(OrgZwTerminateThread))( ThreadHandle, ExitStatus); ObDereferenceObject(eThreadBKill); return ntstatus; } 但是 BSOD 依然是有````` 错误代码:C000021a UnKnow Hard Error 2008-7-29 10:37 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 9 楼把 ObDereferenceObject(eThreadBKill);放到 if (ThreadProcess == (DWORD)eprocBeingProtect) ntstatus = STATUS_UNSUCCESSFUL; else ntstatus = ((ZWTERMINATETHREAD)(OrgZwTerminateThread))( ThreadHandle, ExitStatus); 前面。。。 2008-7-29 12:07 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼 UserMode 的ObReferenceObject需要指明ObjectType (*PsThreadType) 2008-7-29 13:08 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 11 楼还有就是 ZwTerminateThread可能是由线程自己发起的，这时候要允许执行。 2008-7-29 13:10 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 12 楼终于不 BSOD 了````` 但是会导致一个 Svchost.exe 的CPU占用 100% 2008-7-29 18:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 2 楼 Deference一下看看 2008-7-28 22:18 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 3 楼有什么区别呢? NTSTATUS HookZwTerminateProcess( IN PHANDLE ProcessHandle, IN NTSTATUS ExitStatus) { NTSTATUS ntstatus; PEPROCESS eprocFromHandle; ntstatus = ObReferenceObjectByHandle(ProcessHandle,GENERIC_READ,NULL,KernelMode,&eprocFromHandle,0); if(!NT_SUCCESS(ntstatus)) return STATUS_ACCESS_DENIED; if((DWORD)eprocFromHandle == (DWORD)eprocBeingProtect) { ntstatus = STATUS_ACCESS_DENIED; } else ntstatus = ((ZWTERMINATEPROCESS)(OrgZwTerminateProcess))( ProcessHandle, ExitStatus); return ntstatus; } 这是我处理TerminateProcess的代码```没有问题``` 2008-7-28 22:21 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 4 楼同dami R以后要D一下，因为引用了额。不D一下不知道会不会变成Zombie Generator~~~ NTKERNELAPI PEPROCESS PsGetThreadProcess( IN PETHREAD Thread ); 把硬编码改改用这个。或者使用NtQueryInformationThread。你应该发一下错误代码的。 2008-7-28 22:37 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 5 楼 IN PHANDLE ThreadHandle PHANDLE? 注意Dereference ThreadHandle=0特殊判断下 ObReferenceObjectByHandle最好是UserMode。 DesiredAccess用0 2008-7-28 22:52 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 6 楼炉子牛来了。 2008-7-28 23:15 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 7 楼我现在很奇怪为什么ThreadHandle声明为PHANDLE还能传给ObReferenceObjectByHandle而不出错 - -# 顺道捏大米 2008-7-29 07:50 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 8 楼感谢大家的帮助`` 代码已经改过来了``` NTSTATUS HookZwTerminateThread( IN HANDLE ThreadHandle, IN NTSTATUS ExitStatus) { NTSTATUS ntstatus; PETHREAD eThreadBKill; DWORD ThreadProcess; if(ThreadHandle == 0) return STATUS_SUCCESS; ntstatus = ObReferenceObjectByHandle(ThreadHandle,0,NULL,UserMode,&eThreadBKill,0); if(!NT_SUCCESS(ntstatus)) return STATUS_UNSUCCESSFUL; ThreadProcess = (DWORD)PsGetThreadProcess(eThreadBKill); //((DWORD )((DWORD)eThreadBKill + 0x220)); if (ThreadProcess == (DWORD)eprocBeingProtect) ntstatus = STATUS_UNSUCCESSFUL; else ntstatus = ((ZWTERMINATETHREAD)(OrgZwTerminateThread))( ThreadHandle, ExitStatus); ObDereferenceObject(eThreadBKill); return ntstatus; } 但是 BSOD 依然是有````` 错误代码:C000021a UnKnow Hard Error 2008-7-29 10:37 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 9 楼把 ObDereferenceObject(eThreadBKill);放到 if (ThreadProcess == (DWORD)eprocBeingProtect) ntstatus = STATUS_UNSUCCESSFUL; else ntstatus = ((ZWTERMINATETHREAD)(OrgZwTerminateThread))( ThreadHandle, ExitStatus); 前面。。。 2008-7-29 12:07 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼 UserMode 的ObReferenceObject需要指明ObjectType (*PsThreadType) 2008-7-29 13:08 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 11 楼还有就是 ZwTerminateThread可能是由线程自己发起的，这时候要允许执行。 2008-7-29 13:10 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 12 楼终于不 BSOD 了````` 但是会导致一个 Svchost.exe 的CPU占用 100% 2008-7-29 18:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复