首页>编程与逆向>内核编程>有谁能hook zwcreatethread?
回复
« 返回列表
yang_r
yang_r
驱动牛犊
驱动牛犊
  • 注册日期2003-05-01
  • 最后登录2003-05-15
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
阅读:2099回复:10

有谁能hook zwcreatethread?

楼主#
更多 发布于:2003-05-12 11:27
在undocument nt 提供的undocnt.h中有zwcreatethread服务的定义,
在2000下,我发现ntoskrnl没有export该函数,不知道谁有办法hook住.
喜欢1

最新喜欢:

linshierlinshi...
回复
sunzm
sunzm
驱动牛犊
驱动牛犊
  • 注册日期2005-10-28
  • 最后登录2008-04-10
  • 粉丝0
  • 关注0
  • 积分160分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-08-22 11:05
解决了,谢谢各位!
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
板凳#
发布于:2007-08-21 16:34
动态获取
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
sunzm
sunzm
驱动牛犊
驱动牛犊
  • 注册日期2005-10-28
  • 最后登录2008-04-10
  • 粉丝0
  • 关注0
  • 积分160分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-08-21 15:23
http://www.retcvc.com/cgi-bin/printpage.cgi?forum=17&topic=86
用这个方法可以把ID取出来。
可是取出来怎么用?
另外在不同的系统中ID相同吗?是不是总是需要动态获取?
谢谢!
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
地下室#
发布于:2007-08-21 08:44
从NTDLL中取ID,从NTOS中取地址。
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
sunzm
sunzm
驱动牛犊
驱动牛犊
  • 注册日期2005-10-28
  • 最后登录2008-04-10
  • 粉丝0
  • 关注0
  • 积分160分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2007-08-20 17:01
还是有问题啊,
RtlInitUnicodeString( &UniCodeFunctionName, L"NtCreateThread");     (DWORD)MmGetSystemRoutineAddress( &UniCodeFunctionName );
取出来为空,ZwCreateThread取出来也为空,ZwCreateFile可以。
如何解决?谢谢!

另外,用TARGETLIBS = D:\WINDDK\3790.1830\lib\wxp\i386\ntdll.lib加到Source里,可编译,但不能运行。
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
6楼#
发布于:2007-08-16 15:15
MmGetSystemRoutineAddress
驱动开发者 呵呵
回复(0) 喜欢(0)
sunzm
sunzm
驱动牛犊
驱动牛犊
  • 注册日期2005-10-28
  • 最后登录2008-04-10
  • 粉丝0
  • 关注0
  • 积分160分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2007-08-16 14:54
楼主是如何做的啊?
我在编译时出现
: error LNK2019: unresolved external symbol __imp__ZwCreateThre
ad@32 referenced in function _HookProcess@0
是没有导出啊。
回复(0) 喜欢(0)
lu0
lu0
论坛版主
论坛版主
  • 注册日期2001-06-10
  • 最后登录2016-04-05
  • 粉丝2
  • 关注0
  • 积分-6311分
  • 威望21111点
  • 贡献值0点
  • 好评度7点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2003-05-13 17:00
NTOSKRNL.EXE中的ZwCreateThread不是个EXPORTED的函数. 你要HOOK, 也可. 自己把特征码取出就是了. 既然已经搞定, 怎么又来发帖?
Regards, Lu Lin Webmaster of Inside Programming http://www.lu0s1.com
回复(0) 喜欢(0)
yang_r
yang_r
驱动牛犊
驱动牛犊
  • 注册日期2003-05-01
  • 最后登录2003-05-15
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2003-05-12 20:40
可以,我已自己搞定
回复(0) 喜欢(0)
lu0
lu0
论坛版主
论坛版主
  • 注册日期2001-06-10
  • 最后登录2016-04-05
  • 粉丝2
  • 关注0
  • 积分-6311分
  • 威望21111点
  • 贡献值0点
  • 好评度7点
  • 原创分0分
  • 专家分0分
写私信
10楼#
发布于:2003-05-12 17:38
不是所有的NTDLL的EXPORT都有对应的NTOSKRNL的EXPORT的.
Regards, Lu Lin Webmaster of Inside Programming http://www.lu0s1.com
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部