首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]ZwSetInformationThread
2008-12-15 21:55 10692

[求助]ZwSetInformationThread

绣绣 活跃值
2008-12-15 21:55
10692
#include <windows.h>
#include <iostream.h>
#include <conio.h>
#include <stdio.h>
#define NTAPI              __stdcall
typedef long              NTSTATUS;
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
#define STATUS_SUCCESS    ((NTSTATUS)0L)

typedef struct _PROCESS_DEBUG_PORT_INFO
{
    HANDLE DebugPort;
}    PROCESS_DEBUG_PORT_INFO;

enum THREAD_INFO_CLASS        { ThreadHideFromDebugger          = 17 };
typedef NTSTATUS  (NTAPI *ZW_SET_INFORMATION_THREAD)(IN HANDLE ThreadHandle, IN THREAD_INFO_CLASS ThreadInformationClass, IN PVOID ThreadInformation, IN ULONG ThreadInformationLength);

ZW_SET_INFORMATION_THREAD ZwSetInformationThread;
void main()
{

        ZwSetInformationThread = (ZW_SET_INFORMATION_THREAD)GetProcAddress(GetModuleHandle("ntdll.dll"), "ZwSetInformationThread");
        if (ZwSetInformationThread == NULL)
        {
                printf("%s", "Failed: GetProcAddress ZwSetInformationThread");
                return ;
        }
       
        if (STATUS_SUCCESS != ZwSetInformationThread(GetCurrentThread(), ThreadHideFromDebugger, NULL, 0))
        {
                printf("%d\r\n", GetLastError());

                //MessageBox(0, str, str, 0);
                cout << "Failed: ZwSetInformationThread" << endl;
        }
        cout << "OK" << endl;
        //MessageBox(0, "0", "0", 0);
}

ZwSetInformationThread
用这个函数可以将某个线程的调试端口设为0,使得Win32调试器无法再收到该线程的调试事件,使调试器无法再调试该线程。这个主要是针对VC++这样的ring3调试器的。
上面这段代码编译出来是没有错误的,但是运行的时候,用OD还是能附加,这是为什么呢,我是按照示例代码来编写的啊,为什么OD还是能调试呢?

[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
打赏
分享
最新回复 (7)
绣绣
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
绣绣 2008-12-16 10:58
2
0
没人能看出是什么问题吗?
这个代码可以直接用C编译器编译的,用OD能附加上,
我看了下OD并没有HOOK ZwSetInformationThread
cvcvxk
雪    币: 8865
活跃值: (2379)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
cvcvxk 10 2008-12-16 23:29
3
0
OD在入口处断下来很正常啊~
请使用windbg验证吧~
Anti OD不是那么容易的~
绣绣
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
绣绣 2008-12-17 04:24
4
0
我把自己的主线程设置为0了,为什么OD还能附加上,而且能正确显示代码呢?奇怪啊
qihoocom
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
qihoocom 9 2008-12-17 19:00
5
0
要把你的所有线程都设上
beast
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
beast 2009-1-12 07:30
6
0
循环处理看看呢
qqlqql
雪    币: 271
活跃值: (16)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
qqlqql 1 2009-1-12 10:36
7
0
这不是第三版书里那个例子吗? 我也正学习呢 呵呵
你用OD加载 在ZwSetInformationThread = (ZW_SET_INFORMATION_THREAD)GetProcAddress(GetModuleHandle("ntdll.dll"), "ZwSetInformationThread");这句下断走到那就看到ZwSetInformationThread的效果了.附加的话实际也是有效果的,附加的原理我还不懂,你在程序cout << "OK" << endl; 这句后加
  int i;
  cin  >> i;
  cout << i << endl;
  cin  >> i;
附加上这几句执行不了, 在cin  >> i;下断就知道拉
qqlqql
雪    币: 271
活跃值: (16)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
qqlqql 1 2009-1-12 10:50
8
0
ZwSetInformationThread(GetCurrentThread(), ThreadHideFromDebugger, NULL, 0))这句 贴错了
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回