18.ring3-hook-得到线程入口地址的方式-线程创建前kill线程(随手代码)

最新推荐文章于 2023-08-11 09:00:00 发布
最新推荐文章于 2023-08-11 09:00:00 发布
阅读量8.4k 收藏 6
点赞数 2
分类专栏: 安全(ring3)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/8499090
版权

要获取入口地址,可以用Native API: NtQueryInformationThread,以ThreadQuerySetWin32StartAddress为参数

具体代码:

.h:

#pragma once
typedef LONG NTSTATUS;
typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)(
	HANDLE ThreadHandle, 
	ULONG ThreadInformationClass, 
	PVOID ThreadInformation, 
	ULONG ThreadInformationLength, 
	PULONG ReturnLength);
typedef enum _THREADINFOCLASS {
	ThreadBasicInformation,
	ThreadTimes,
	ThreadPriority,
	ThreadBasePriority,
	ThreadAffinityMask,
	ThreadImpersonationToken,
	ThreadDescriptorTableEntry,
	ThreadEnableAlignmentFaultFixup,
	ThreadEventPair_Reusable,
	ThreadQuerySetWin32StartAddress,
	ThreadZeroTlsCell,
	ThreadPerformanceCount,
	ThreadAmILastThread,
	ThreadIdealProcessor,
	ThreadPriorityBoost,
	ThreadSetTlsArrayAddress,   // Obsolete
	ThreadIsIoPending,
	ThreadHideFromDebugger,
	ThreadBreakOnTermination,
	ThreadSwitchLegacyState,
	ThreadIsTerminated,
	ThreadLastSystemCall,
	ThreadIoPriority,
	ThreadCycleTime,
	ThreadPagePriority,
	ThreadActualBasePriority,
	ThreadTebInformation,
	ThreadCSwitchMon,          // Obsolete
	ThreadCSwitchPmu,
	ThreadWow64Context,
	ThreadGroupInformation,
	ThreadUmsInformation,      // UMS
	ThreadCounterProfiling,
	ThreadIdealProcessorEx,
	MaxThreadInfoClass
} THREADINFOCLASS;

class FindThreadStaAddr
{
public:
	FindThreadStaAddr(void);
	~FindThreadStaAddr(void);


	DWORD GetThreadStartAddr1(DWORD dwThreadId);
};

 

.cpp

#include "StdAfx.h"
#include "FindThreadStaAddr.h"

FindThreadStaAddr::FindThreadStaAddr(void)
{
}

FindThreadStaAddr::~FindThreadStaAddr(void)
{
}


DWORD FindThreadStaAddr::GetThreadStartAddr1(DWORD dwThreadId)
{
	HMODULE hNtdll = LoadLibrary(_T("ntdll.dll"));
	if (!hNtdll)
	{
		return 0;
	}

	NTQUERYINFORMATIONTHREAD NtQueryInformationThread = NULL;
	NtQueryInformationThread = (NTQUERYINFORMATIONTHREAD)
	 GetProcAddress(hNtdll, "NtQueryInformationThread");
	if (!NtQueryInformationThread)
	{
		return 0;
	}

	HANDLE ThreadHandle = NULL;
	ThreadHandle = OpenThread(THREAD_QUERY_INFORMATION, FALSE, dwThreadId);
	if (!ThreadHandle)
	{
		return 0;
	}

	DWORD dwStaAddr = NULL;
	DWORD dwReturnLength = 0;
	if(NtQueryInformationThreadtion(ThreadHandle, ThreadQuerySetWin32StartAddress,
	&dwStaAddr, sizeof(dwStaAddr), &dwReturnLength))
	{
		return 0;
	}

	return dwStaAddr;
}


要注意的是

1.NtQueryInformationThread成功返回的是STATUS_SUCCESS(0)

另一种判断的方式是直接hook  LdrInitializeThunk

贴个原型:

typedef void (__stdcall *LDRINITIALIZETHUNK)(ULONG param0, ULONG param1, ULONG param2, ULONG param3);
PCONTEXT    pContext;
pContext = (PCONTEXT)¶m3;
pContext->Eax即为函数入口地址

这个是入口地址,而且是在没有进入入口函数地址之前调用的,所以可以在这里判断是否需要KILL此线程.

自己写了个demo测试第一种方式:

1。随机生成一个线程,打印它的地址和ID

2。输入要查询的线程ID,点击查询按钮:

打印的线程地址和上面的一致,

源码


 

花熊
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
windows线程创建流程
zhuhuibeishadiao
12-23 1868
如果查看堆栈(正常的堆栈回溯) 所有线程入口都是RtlUserThreadStart, 真正的流程如下. 包括远程线程 这里着重说明应用层,内核层不做具体描述. CreateThread->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进程上下文ntdll!LdrInitializeThunk->ntdll!LdrpIn...
apache-atlas-2.1.0-sqoop-hook.tar.gz--基于cdh6.3.1编译完成
05-10
apache-atlas-2.1.0-sqoop-hook.tar.gz--基于cdh6.3.1编译完成
react-hook-google-maps:React useGoogleMaps挂钩,可轻松与Google Maps API集成https:www.npmjs.compackagereact-hook-google-maps
02-03
react-hook-google-maps ReactuseGoogleMaps钩子 在您的React应用程序中使用Google Maps的最简单方法。 有关Google API文档,请检查 安装 npm install --save react-hook-google-maps 用法示例 查看此仓库中的example目录,以获取最新示例。 简单 import * as React from " react " ; import { useGoogleMaps } from " react-hook-google-maps " ; const App = () => { const { ref , map , google } = useGoogleMaps ( // Use your own API key, you can get one from Google (https://console.cloud.google.com/google/maps-apis/overview) " AIzaSyC4Z5Qz97EWcoCczNn2IcYvaYG0L9
SSDT.rar_SSDT-HOOK_ssdt
09-19
挂钩SSDT,通过驱动和hook函数进行进程控制。
apache-atlas-2.1.0-hbase-hook.tar.gz
05-10
apache-atlas-2.1.0-hbase-hook.tar.gz--基于cdh6.3.1编译完成
获取某个进程的所有线程ID和入口地址
吾无法无天的博客
02-14 3080
因为有个要定位线程头部特征的需要(有些游戏调试器一附加就立马死掉,多半是有个线程在搞鬼,杀掉这个线程就可以正常附加调试了),首先要找到线程入口地址,在网上找了下,发现在获取64位程序的线程信息时,入口地址是错的(64位的地址溢出了),稍稍改动了一下(要编译为64位) #include <windows.h> #include <tlhelp32.h> #include ...
软件逆向高级工程
09-08
言最近随着计算机的发展,软件日益更新,有很多公司发布的产品遭到篡改和破解,在总众多年的历史种逐渐形成了软件保护与软件破解之间的对抗产生了软件逆向工程这本门技术将在如下的课程讲解各种软件逆向知识,软件保护知识,已经破解脱壳反调试知识,为初期学软件逆向不懂而又迷茫的同学门指明一条道路此套课堂能有效帮助同学们解决软件逆向中所遇到的大部分问题大纲软件逆向工程高级班分为反调试篇汇编篇算法篇补丁篇HOOK篇将在如上这几篇对软件逆向的各个方面进行详解,包括网络验证的分析思路,封包算法的提取,以及各种软件保护技术,无论哪一篇都会从诸多个方面的细节进行详解反调试篇:分为PEB,时间校验,CRC,NtQuery函数,内核过渡等知识要领与诸多方面的综合性详解,细节分为每一节课,每一节课目标清晰无比,每一节深入精髓进行讲解!汇编篇:一个程序编译完成之后是如何通过在计算机运行起来的,其中少不了底层知识的汇编指令,汇编篇中将深入浅出的带领同学们对MASM32SDK的一套汇编库中开发程序,熟悉汇编的原理,如何运用汇编写出一套花指令,并且去除指令,方便以后的算法学习以及为今后的学习打下坚实的基础算法篇:随着编程语言的发展,编程语言的标准也在发展,一些编译器善于运用数学的手法,对程序进行各种优化,然后我们进行分析,我们得需要一步步还原这个优化或清晰了解这个优化才有可能掌握这个数学模型优化,进一步还原代码,算法篇知识要领将在优化,技巧这方面表现的玲离尽致!此篇会带领同学们分析多个语言的算法,包括C/C++算法还原代码还原易语言代码还原 算分开库的实现,制作自己的第一个注册机等!补丁篇:说到补丁,同学们可能第一个想到的就是对方一些网络验证所用到的技巧,我的课程这一方面虽有涉及,但是补丁技术远远不止这一点,我的课程会详解更多的补丁知识原理,包括什么是补丁,补丁的真正概念,辈们是如何善用补丁对程序的漏洞进行修补损坏的程序。将在此篇一一介绍HOOK篇:详细详解了各种HOOK的原理以及实现代码,包括网上流行所说的超级HOOK,COMHOOK,协议HOOK,代理中转等方法,怎么定位关键位置,环境的保存知识要领,hook关键的注意事项,为自己以后做hook行业打下坚实的基础课程每一个细节讲究的深入骨髓,通俗易懂的学习方式,全程贯彻原理,软件逆向中必不可少少的教程!
得到线程入口地址方式
weixin_30909575的博客
01-13 487
要获取入口地址,可以用Native API: NtQueryInformationThread,以ThreadQuerySetWin32StartAddress为参数 具体代码: .h: #pragma once typedef LONG NTSTATUS; typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE Th...
C/C++ 获取线程入口地址模块等
CSDN
07-16 8271
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
写下来回头看,在游戏中隐藏线程思路r3
w2662269的博客
01-18 3077
方法一 1.在游戏进程线程列表里 选一个游戏的线程 并记录线程入口 2.对该线程入口HOOK跳转到自己的函数 3.然后立刻创建线程 线程创建完后 再把HOOK恢复即可 这个只能达到披羊皮效果 方法二 HOOK游戏窗口消息处理 (那个窗口消息处理的循环体)直接JMP到我的函数 这样就能达到无线程效果 或者找其他微软的线程提是这个线程无通信无心跳)找个地方写JMP进去 方法三
关于Win7 x64下过TP保护(应用层)(转)
09-28 2424
非常感谢大家那么支持我上一篇教程。 Win10 快出了,所以我打算尽快把应用层的部分说完。 调试对象:DXF 调试工具:CE、OD、PCHunter、Windbg 调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。 应用层: 1、TP让调试器卡死(内核互动) 现象: &lt;ignore_js_op&gt;  如图,TP会检测...
apache-atlas-2.1.0-storm-hook.tar.gz--基于cdh6.3.1编译完成
05-10
apache-atlas-2.1.0-storm-hook.tar.gz--基于cdh6.3.1编译完成
微信3.1.0.41逆向-微信3.1.0.41HOOK接口-MFC调用实例方法源码
01-06
微信3.1.0.41逆向-微信3.1.0.41HOOK接口(WeChatHelper3.1.0.41.dll)-MFC调用实例方法源码
Invisibility on NT boxes
03-02 1221
=========================[ Invisibility on NT boxes ]=========================== How to become unseen on Windows NT ----------------------------------
DLL注入技术
最新发布
Karka_的博客
08-11 349
DLL是windows平台提供的一种模块共享和重用机制,它本身不能直接独立运行,但可以被加载到其他进程中间接执行。DLL注入,是将代码插入/注入到正在运行的进程中的过程。本来是软件用于向其他程序添加/扩展功能、调试或逆向工程的一种合法技术。不过,后来恶意软件也常用这种方式来干坏事。是一种广泛应用于恶意软件和无文件攻击中的逃避技术。
如何建立内核级钩子控制操作系统实现程序隐身
weixin_33738982的博客
05-20 102
【51CTO.com 专家特稿】作者:宇文 我们知道,应用程序总是离不开系统内核所提供的服务,比如它要使用内存的时候,只要跟操作系统申请就行了,而不用自己操心哪里有空闲的内存空间等问题,实际上,这些问题是由操作系统的内核来代劳的。站在***的角度讲,如果能够控制内核,实际上就是控制了内核之上的各种应用程序。本文将向您介绍如何建立内核级钩子来控制操作系统向上提供的各种低...
LdrInitializeThunk 解析
趁着年轻,希望我们不会让自己失望
06-26 1万+
LdrInitializeThunk()    Windows 的 DLL 装入(除 ntdll.dll 外)和连接是通过 ntdll.dll 中的一个函数LdrInitializeThunk()实现的.    在进入这个函数之,目标 EXE 映像已经被映射到当进程的用户空间,系统 DLL ntdll.dll 的映像也已经被映射, 但是并没有在 EXE 映像与 ntdll.dll 映像之间
获取真正的进程/线程句柄
weixin_34361881的博客
04-16 571
首先在开始正文之先介绍最简单的获取进程/线程句柄方法。那就是可以在创建进程/线程时获取句柄。 创建进程/线程是获取句柄。 //进程创建函数 BOOL CreateProcess( PCTSTR pszApplicationName, PTSTR pszCommandLine, PSECURITY_ATTRIBUTES psaProcess, PSECURITY_ATTRIBUTES psaTh...
7.ring3-DLL劫持技术详解(lpk.dll)
热门推荐
hgy413的专栏
07-29 1万+
背景知识 https://support.microsoft.com/en-us/kb/164501中记录了除了window的搜索dll顺序 要看中文的兄弟可以看:https://support.microsoft.com/zh-cn/kb/164501 我们当然主要关注32位的dll 对于 32 位 Dll 在找到 KnownDLLs 注册表项: HKEY_LOCAL_MA
python代码 playwright库,处理md-picker-column-hook
05-10
Playwright库是一个用于自动化Web浏览器的Python库,可以模拟用户在Web浏览器中的操作,例如点击、输入文本、选择下拉框等等。如果你需要使用Playwright库来处理md-picker-column-hook,可以按照以下步骤操作: 1. 安装Playwright库: ``` pip install playwright ``` 2. 导入Playwright库: ``` import playwright from playwright.sync_api import Playwright, sync_playwright ``` 3. 启动浏览器并创建一个页面: ``` with sync_playwright() as p: browser = p.chromium.launch() page = browser.new_page() ``` 4. 在页面中打开需要处理md-picker-column-hook的网页: ``` page.goto('https://example.com') ``` 5. 找到md-picker-column-hook元素并点击它: ``` picker = page.locator('.md-picker-column-hook') picker.click() ``` 6. 选择需要的选项: ``` options = page.locator('.md-picker-column .md-picker-item') for option in options: if option.text() == 'Option 1': option.click() break ``` 7. 关闭浏览器: ``` browser.close() ``` 以上是一个简单的例子,你可以根据自己的需求来修改代码。注意,Playwright库支持的浏览器有Chromium、Firefox和WebKit,你需要根据自己的需求选择合适的浏览器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值