我HOOK了ZwCreateThread，怎么判断是不是创建远程线程？

楼主^#

更多发布于：2007-05-09 14:04

我用SSDT HOOK了ZwCreateThread。想通过比较参数的ProcessHandle和当前调用者的Handle来判断是否为远程线程。当不同时就认为是创建远程线程。

但发现有点问题，就是Explorer.exe经常要打开其他程序时，也会传不同的Handle。这样就会误报。

绿盟上有说用Thread通知回调，而且说忽略System的线程创建，好象在XP下不行。

有谁有什么好办法hook到远程线程创建呢？

喜欢1

最新喜欢：

wingma...

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

沙发^#

发布于：2007-05-09 20:15

嘿嘿～这个你可以研究一下啦～注意远程线程是一个特殊线程，他必须在程序内其他线程已经存在的前提下出现～～
呵呵～～

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

sunzm 驱动牛犊注册日期2005-10-28 最后登录2008-04-10 粉丝0 关注0 积分160分威望17点贡献值0点好评度16点原创分0分专家分0分加关注写私信	板凳^# 发布于：2007-08-23 11:58 老大能不能说详细些，俺也想解决这个问题啊，谢谢！
	回复(0) 喜欢(0)

niumowangmeng 驱动牛犊注册日期2008-02-22 最后登录2008-06-07 粉丝0 关注0 积分150分威望16点贡献值0点好评度15点原创分0分专家分0分加关注写私信	地板^# 发布于：2008-03-19 09:39 Thread通知回调可以实现，xfocus上有现成的代码，但是通过ZwCreateThread如何实现不太清楚
	回复(0) 喜欢(0)

lazydog 驱动牛犊注册日期2004-07-08 最后登录2009-10-30 粉丝0 关注0 积分4分威望85点贡献值0点好评度72点原创分0分专家分0分加关注写私信	地下室^# 发布于：2008-04-07 16:57 用handle貌似很多误报的，也不知道是不是误报，反正调用某些正常的ms api都会出现问题
	回复(0) 喜欢(0)

ychener 驱动牛犊注册日期2003-03-18 最后登录2016-01-07 粉丝0 关注0 积分1分威望20点贡献值0点好评度19点原创分0分专家分0分加关注写私信	5楼^# 发布于：2008-05-03 10:57 判断调用者的ProcessId和被调用的ProcessId是不是同一个，前提是被调用的ProcessId的线程个数大于1个。
	回复(0) 喜欢(0)

shijiaoan 驱动牛犊注册日期2005-11-18 最后登录2016-01-09 粉丝0 关注0 积分232分威望34点贡献值0点好评度23点原创分0分专家分0分加关注写私信	6楼^# 发布于：2008-05-03 13:11 如果钩住内核的PspCreateThread 如何得到调用者的ProcessId?
	回复(0) 喜欢(0)

ychener 驱动牛犊注册日期2003-03-18 最后登录2016-01-07 粉丝0 关注0 积分1分威望20点贡献值0点好评度19点原创分0分专家分0分加关注写私信	7楼^# 发布于：2008-05-03 20:05 你不会Hook SSDT吗？
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册