监控远程线程代码

楼主^#

更多发布于：2008-07-30 11:31

原理参考http://zhidao.baidu.com/question/35829777.html

NTSTATUS
HookNtCreateThread(
   IN PNtCreateThread OrgFunction,
   OUT PHANDLE ThreadHandle,
   IN ACCESS_MASK DesiredAccess,
   IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
   IN HANDLE ProcessHandle, //目标进程
   OUT PCLIENT_ID ClientId,
   IN PCONTEXT ThreadContext,
   IN PINITIAL_TEB InitialTeb,
   IN BOOLEAN CreateSuspended
   )
{
   NTSTATUS status;
   PEPROCESS Process;
   UNICODE_STRING DosPath;


   if ((NT_SUCCESS(ObReferenceObjectByHandle(ProcessHandle, 0, NULL, KernelMode, &Process, NULL))))
   {
   if (GetProcessDosPath(Process, &DosPath))
   {
   if (!IsListEmpty((PLIST_ENTRY)((PBYTE)Process + KPROCESS_THREAD_LIST_OFFSET)) &&
   Process != IoGetCurrentProcess())
   {
   UNICODE_STRING TargetPath;
   if (GetProcessDosPath(IoGetCurrentProcess(), &TargetPath))
   {
   KdPrint(("Target:%wZ\n", &TargetPath));
   RtlFreeUnicodeString(&TargetPath);
   }
   KdPrint(("CreateRemoteThread->%wZ\n", &DosPath));
   }
   RtlFreeUnicodeString(&DosPath);
   }
   }
   status = OrgFunction(ThreadHandle, DesiredAccess, ObjectAttributes, ProcessHandle, ClientId, ThreadContext, InitialTeb, CreateSuspended);
   return status;
}
2ksp4+vm6通过

喜欢0

safejmp 驱动牛犊注册日期2008-07-27 最后登录2010-09-21 粉丝0 关注0 积分6分威望25点贡献值0点好评度0点原创分0分专家分0分加关注写私信	沙发^# 发布于：2008-07-30 13:45 vista 下不用这个了。
	回复(0) 喜欢(0)

boywhp 驱动中牛注册日期2007-08-09 最后登录2015-04-24 粉丝2 关注0 积分1105分威望515点贡献值0点好评度254点原创分1分专家分0分加关注写私信	板凳^# 发布于：2008-07-30 15:48 vista还没有怎么用过，不知还能hook不？没有vista的ddk
	回复(0) 喜欢(0)

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

地板^#

发布于：2008-07-31 08:59

HookNtCreateThreadEx

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

您需要登录后才可以回帖，登录或者注册

监控远程线程代码

最新喜欢：