ring3不使用api枚举线程

最新推荐文章于 2014-05-04 16:42:54 发布
最新推荐文章于 2014-05-04 16:42:54 发布
阅读量657 收藏
点赞数
分类专栏: windows 文章标签: api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haha_/article/details/4745805
版权

上午有个同事问的一个问题,让俺翻出了一个N久前写的代码:

    ENUMTHREAD m_stThread;
    ULONG ulPebAddr;
    ULONG ulTemp;
    __asm
    {
        pushad
        mov eax,fs:[0x18];
        mov eax,[eax+0x30]
        mov ulPebAddr,eax
        popad
    }
    ulTemp = 0x7fef0000;
    while(true)
    {
        ulTemp-=0x1000;
        __try 

        {
            if (*(ULONG*)(ulTemp+0x30) == ulPebAddr && *(ULONG*)(ulTemp+0x18) == ulTemp)
            {
                m_stThread.iThreadId = *(ULONG*)(ulTemp+0x24);
                m_stThread.ulTebAddr = ulTemp;
                m_stTreadList.push_back(m_stThread);
            }

        }__except(...)
        {
            if (ulTemp <= MIN_TEB_ADDR )
            {
                break;
            }
        }

    }

虽然虽然虽然,但是还是有些情况下使用这种方式非常方便.

haha_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ring3实现的进程防杀
05-18
ring3实现的进程防杀,IceSword(强制可以杀掉),WSysCheck等结束不了.另外程序附带禁止执行功能. 上传第5次了...CSDN可不是一般的烂..
NTAPI枚举指定进程中指定模块创建的线程
热门推荐
Rprop
01-24 3万+
代码示例了如何使用API枚举指定进程中指定模块创建的线程, 注意该方案存在一定局限性, 就是模块的起始地址和线程起始地址之间的关系无法保证, 可能存在漏掉的.
得到线程入口地址的方式
weixin_30909575的博客
01-13 477
要获取入口地址,可以用Native API: NtQueryInformationThread,以ThreadQuerySetWin32StartAddress为参数 具体代码: .h: #pragma once typedef LONG NTSTATUS; typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE Th...
ring3代码可靠地枚举Windows进程.pdf
03-24
ring3代码可靠地枚举Windows进程.pdf
ring3-kit:使用NT API挂钩从任务管理器隐藏进程(NtQuerySystemInformation)
05-27
ring3-kit 使用NT挂钩(NtQuerySystemInformation)从任务管理器中隐藏进程。 一个简单的Ring-3(用户模式)rootkit。 如何 将API函数NtQuerySystemInformation()与我们自己的函数挂钩,该函数对任务管理器隐藏...
ring0内核程序和ring3程序的区别
最新发布
10-31
ring0 ring3程序的区别
C++采用ring3读取MBR实例
09-04
主要介绍了C++采用ring3读取MBR实例,可实现对硬盘的主引导记录的读取,非常具有实用价值,需要的朋友可以参考下
VB 暴力枚举实现Ring3下检测隐藏窗体
05-15
VB 暴力枚举实现Ring3下检测隐藏窗体
Ring3 下隐藏进程
10-10 2474
library nthide;usesWindows,ImageHlp,TlHelp32;type SYSTEM_INFORMATION_CLASS = (SystemBasicInformation,SystemProcessorInformation,SystemPerformanceInformation,SystemTimeOfDayInformation,SystemNotImpleme
Ring3下实现进程保护,不用hook
十年磨一剑,霜刃未曾试!
05-04 6865
今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧! #include "stdafx.h" #include #include #pragma comment(lib,"Advapi32.lib") BOOL Ring3ProtectProcess() { HANDLE hProcess = ::Get
隐藏的线程实现
weifeng0715的专栏
06-25 1084
Java实现QQ那样的自动隐藏其实也不是很难。主要思想就是检测窗口在屏幕上的位置。当窗口靠边的时候就重新设置窗口的位置。导包就省略了……public class AutoHideFrame extends JFrame implements Runnable, MouseListener {    private Thread thread = null;    private
应用层阻止远程线程注入
XboxMicro
02-19 2271
利用DLL_THREAD_ATTACH即可。当有新线程加入时,进行过滤即可。 BOOL WINAPI DllMain(HINSTANCE hinstDll, DWORD fdwReason, PVOID fImpLoad) 2 { 3 switch (fdwReason) 4 { 5 6 case DLL_PROCESS_ATTACH: 7 8
C++枚举线程方法
钟斌的博客
08-15 4664
主要使用的下面几个函数: 1、CreateToolhelp32Snapshot 2、Thread32First 3、Thread32Next 所以要引用下面的头文件: #include 枚举线程的代码如下: // 枚举系统当前所有线程信息 // 并把信息输出到工程目录下EnumInfo_thread.txt BOOL EnumThreadInfo () { // 定义线程信息
winring0 驱动怎么在ring3加载
05-16
然后,在Ring3应用程序中使用WinRing0 API函数调用WinRing0驱动的功能。通过API函数调用的方式,Ring3应用程序可以请求WinRing0驱动来执行一些需要在Ring0特权级别下完成的操作,例如读写硬件寄存器、监视系统性能和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值