hook ExitThread函数

楼主^#

更多发布于：2007-07-12 22:14

最近在写一个监控系统中某几个进程的线程退出程序，经研究紧紧监控ntterminatethread程序是不够的，故需要监控exitthread程序，但该程序在内核中没有具体有意义的对应函数，在用户层inline hook但用户内存受到保护，无法下手。
请高手指点一下，这个问题该如何解决，敬请期待：）

flying2008 驱动牛犊注册日期2005-12-15 最后登录2010-04-02 粉丝0 关注0 积分695分威望85点贡献值0点好评度67点原创分0分专家分0分加关注写私信	沙发^# 发布于：2007-07-16 09:32 问题还是没解决，高手们该出手了：）
	回复(0) 喜欢(0)

GNiDiA 驱动小牛注册日期2006-10-11 最后登录2017-10-09 粉丝0 关注0 积分1002分威望145点贡献值0点好评度124点原创分0分专家分0分加关注写私信	板凳^# 发布于：2007-07-16 11:12 ExitThread最终调用的就是NtTerminateThread kernel32::ExitThread->ntdll::NtTerminateThread->ntkrnl::NtTerminateThread
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

加关注写私信

地板^#

发布于：2007-07-16 11:51

hook PspExitThread或PspTerminateThreadByPointer
应该够底层了~

驱动开发者呵呵

回复喜欢

flying2008 驱动牛犊注册日期2005-12-15 最后登录2010-04-02 粉丝0 关注0 积分695分威望85点贡献值0点好评度67点原创分0分专家分0分加关注写私信	地下室^# 发布于：2007-07-17 09:54 引用第2楼GNiDiA于2007-07-16 11:12发表的 : ExitThread最终调用的就是NtTerminateThread kernel32::ExitThread->ntdll::NtTerminateThread->ntkrnl::NtTerminateThread 非常感谢你的回答，但是2000不是这样的：）
	回复(0) 喜欢(0)

flying2008 驱动牛犊注册日期2005-12-15 最后登录2010-04-02 粉丝0 关注0 积分695分威望85点贡献值0点好评度67点原创分0分专家分0分加关注写私信	5楼^# 发布于：2007-07-17 10:07 引用第3楼WQXNETQIQI于2007-07-16 11:51发表的 : hook PspExitThread或PspTerminateThreadByPointer 应该够底层了~ 可是在2000中exitthread没有调用PspExitThread、PspTerminateThreadByPointer函数？
	回复(0) 喜欢(0)

GNiDiA 驱动小牛注册日期2006-10-11 最后登录2017-10-09 粉丝0 关注0 积分1002分威望145点贡献值0点好评度124点原创分0分专家分0分加关注写私信	6楼^# 发布于：2007-07-17 12:11 最后一个线程的ExitThread会直接调用ExitProcess，不再向下调用NtTerminateThread了 XP和2000没这么大差别吧？正好我装了2000 SERVER SP4，有空要看看了。
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册