首页>编程与逆向>内核编程>在Ring0中,已知进程ID如何枚举它的线程?
回复
« 返回列表
Clerk_9919
Clerk_9919
驱动牛犊
驱动牛犊
  • 注册日期2004-02-12
  • 最后登录2008-11-17
  • 粉丝0
  • 关注0
  • 积分6分
  • 威望5点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
阅读:1895回复:9

在Ring0中,已知进程ID如何枚举它的线程?

楼主#
更多 发布于:2008-11-04 10:02
如题...
喜欢0
回复
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
沙发#
发布于:2008-11-04 11:57
获得EPROCESS,然后枚举THREAD LIST_ENTRY
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
板凳#
发布于:2008-11-04 12:58
ZwQuerySystemInformation SystemProcessInformation
驱动开发者 呵呵
回复(0) 喜欢(0)
ljh1021
ljh1021
驱动小牛
驱动小牛
  • 注册日期2007-05-30
  • 最后登录2010-05-18
  • 粉丝0
  • 关注0
  • 积分936分
  • 威望126点
  • 贡献值0点
  • 好评度92点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2008-11-04 21:45
PsGetNextProcessThread很好用
消灭人类暴政,世界属于三体!
回复(0) 喜欢(0)
Clerk_9919
Clerk_9919
驱动牛犊
驱动牛犊
  • 注册日期2004-02-12
  • 最后登录2008-11-17
  • 粉丝0
  • 关注0
  • 积分6分
  • 威望5点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2008-11-05 15:28
非常感谢...

PsGetNextProcess/Thread文档资料里好像没有这样的函数, 原型是什么样的?
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
5楼#
发布于:2008-11-05 17:15
PsGetNextProcess/Thread only available on windows vista and later versions
驱动开发者 呵呵
回复(0) 喜欢(0)
ljh1021
ljh1021
驱动小牛
驱动小牛
  • 注册日期2007-05-30
  • 最后登录2010-05-18
  • 粉丝0
  • 关注0
  • 积分936分
  • 威望126点
  • 贡献值0点
  • 好评度92点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2008-11-06 12:16
XP下也可以搜NtTerminateProcess得到
消灭人类暴政,世界属于三体!
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
7楼#
发布于:2008-11-06 16:25
你可以去死了
驱动开发者 呵呵
回复(0) 喜欢(0)
ljh1021
ljh1021
驱动小牛
驱动小牛
  • 注册日期2007-05-30
  • 最后登录2010-05-18
  • 粉丝0
  • 关注0
  • 积分936分
  • 威望126点
  • 贡献值0点
  • 好评度92点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2008-11-06 21:53
引用第7楼WQXNETQIQI于2008-11-06 16:25发表的  :
你可以去死了

MJ大牛是在叫我去死么?
是的话我马上照办
消灭人类暴政,世界属于三体!
回复(0) 喜欢(0)
Clerk_9919
Clerk_9919
驱动牛犊
驱动牛犊
  • 注册日期2004-02-12
  • 最后登录2008-11-17
  • 粉丝0
  • 关注0
  • 积分6分
  • 威望5点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2008-11-10 11:32
还是按wowocock指点的 枚举THREAD LIST_ENTRY实现了. 非常感谢
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部