[求助]ring3 遍历系统内核线程-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
zhujian 雪币： 1262 活跃值： (770) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 2 楼自己帮自己顶，自己回答了。 PsCreateSystemThread函数有个可选参数ProcessHandle ddk定义如下: Specifies an open handle for the process in whose address space the thread is to be run. The caller’s thread must have PROCESS_CREATE_THREAD access to this process. If this parameter is not supplied, the thread will be created in the initial system process. This value should be NULL for a driver-created thread. Use the NtCurrentProcess macro to specify the current process. 再翻翻wrk看看实现就更清楚了 NTSTATUS PsCreateSystemThread{... ProcessPointer = NULL; if (ARGUMENT_PRESENT(ProcessHandle)) { SystemProcess = ProcessHandle; } else { SystemProcess = NULL; ProcessPointer = PsInitialSystemProcess; } PspCreateThread(...) ...} 2009-1-11 14:23 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 3 楼和ProcessHandle 没任何关系 2009-1-12 00:56 0
DiYhAcK 雪币： 354 活跃值： (10) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	DiYhAcK 2 4 楼楼主不懂装懂。。。 2009-1-12 09:20 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 5 楼支持楼主 bs#4 哈哈~ 2009-1-12 11:48 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼我是来顶炉子的.... 2009-1-12 12:32 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 7 楼看了三遍也不知道楼主想问什么, 2009-1-12 15:11 0
starrysky 雪币： 400 活跃值： (1309) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	starrysky 8 楼 http://bbs.pediy.com/showthread.php?t=79949 2009-1-12 16:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
zhujian 雪币： 1262 活跃值： (770) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 2 楼自己帮自己顶，自己回答了。 PsCreateSystemThread函数有个可选参数ProcessHandle ddk定义如下: Specifies an open handle for the process in whose address space the thread is to be run. The caller’s thread must have PROCESS_CREATE_THREAD access to this process. If this parameter is not supplied, the thread will be created in the initial system process. This value should be NULL for a driver-created thread. Use the NtCurrentProcess macro to specify the current process. 再翻翻wrk看看实现就更清楚了 NTSTATUS PsCreateSystemThread{... ProcessPointer = NULL; if (ARGUMENT_PRESENT(ProcessHandle)) { SystemProcess = ProcessHandle; } else { SystemProcess = NULL; ProcessPointer = PsInitialSystemProcess; } PspCreateThread(...) ...} 2009-1-11 14:23 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 3 楼和ProcessHandle 没任何关系 2009-1-12 00:56 0
DiYhAcK 雪币： 354 活跃值： (10) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	DiYhAcK 2 4 楼楼主不懂装懂。。。 2009-1-12 09:20 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 5 楼支持楼主 bs#4 哈哈~ 2009-1-12 11:48 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼我是来顶炉子的.... 2009-1-12 12:32 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 7 楼看了三遍也不知道楼主想问什么, 2009-1-12 15:11 0
starrysky 雪币： 400 活跃值： (1309) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	starrysky 8 楼 http://bbs.pediy.com/showthread.php?t=79949 2009-1-12 16:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复