PsCreateSystemThread

最新推荐文章于 2020-12-22 16:32:46 发布
最新推荐文章于 2020-12-22 16:32:46 发布
阅读量1k 收藏
点赞数
分类专栏: 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/47187373
版权 
HANDLE hSystemThread,hMyThread;
PsCreateSystemThread(&hSystemThread,NULL,NULL,NULL,NULL,ThreadSystemStart,NULL);
PsCreateSystemThread(&hMyThread,NULL,NULL,NtCurrentProcess(),NULL,ThreadUserStart,NULL);
ZwClose(hSystemThread);
ZwClose(hMyThread);
//系统线程
VOID ThreadSystemStart( IN PVOID  StartContext)
{
#if DBG
	_asm int 3
#endif

	PEPROCESS pEProcess=IoGetCurrentProcess();
	PTSTR ProcessName=(PTSTR)((ULONG)pEProcess+0x164);
	DbgPrint("ThreadSystemStart run in %s process!\n",ProcessName);

	//结束线程
	PsTerminateSystemThread(STATUS_SUCCESS);
	return;
}

//用户线程
VOID ThreadUserStart( IN PVOID  StartContext )														
{
#if DBG
	_asm int 3
#endif

	PEPROCESS pEProcess=IoGetCurrentProcess();
	PTSTR ProcessName=(PTSTR)((ULONG)pEProcess+0x164);					//2003系统是这个
	DbgPrint("ThreadUserStart run in %s process!\n",ProcessName);

	//结束线程
	PsTerminateSystemThread(STATUS_SUCCESS);										//结束线程
	return;
}

 

NTSTATUS HelloDDKControl(IN PDEVICE_OBJECT pDevObj,IN PIRP pIrp)
{
#if DBG
	_asm int 3
#endif

	NTSTATUS status=STATUS_SUCCESS;
	//获取当前堆栈
	PIO_STACK_LOCATION stack=IoGetCurrentIrpStackLocation(pIrp);

	//得到IOCTL控制码
	ULONG code=stack->Parameters.DeviceIoControl.IoControlCode;
	switch (code)
	{
	case IOCTL_TEST1:	//缓冲区方式IOCTL
		{
				HANDLE hSystemThread,hMyThread;
				PsCreateSystemThread(&hSystemThread,NULL,NULL,NULL,NULL,ThreadSystemStart,NULL);
				PsCreateSystemThread(&hMyThread,NULL,NULL,NtCurrentProcess(),NULL,ThreadUserStart,NULL);
				ZwClose(hSystemThread);
				ZwClose(hMyThread);
		}
		break;
	default:
		status=STATUS_INVALID_VARIANT;
	}

	//设置IRP的完成状态
	pIrp->IoStatus.Status=status;
	pIrp->IoStatus.Information=0;
	IoCompleteRequest(pIrp,IO_NO_INCREMENT);
	return status;
}



 

125096
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过 HOOK PsCreateSystemThread 监控线程,入口函数特征码对比来过hs防护软件的保护,asm源码非常不错
05-15
通过 HOOK PsCreateSystemThread 监控线程,入口函数特征码对比来过hs防护软件的保护,asm源码非常不错
驱动程序多线程 PsCreateSystemThread
hh012938的博客
02-26 274
转自:https://www.cnblogs.com/lsh123/p/7357468.html
PsCreateSystemThread函数说明
不歪的专栏
11-30 4064
// 创建新线程 NTSTATUS PsCreateSystemThread( OUT PHANDLE ThreadHandle, //用于输出,这个参数得到新创建的线程句柄 IN ULONG DesiredAccess, //是创建的权限 IN POBJECT_A
CreateThread,AfxBeginThread,PsCreateSystemThread
sanfenlu的专栏
07-07 3278
<br />先举一些使用的例子:<br />1):<br />  //在类中创建一个线程:<br />void CQboxMacDlg::OnOK() <br />{<br />   // --------------------------<br />    DWORD dwThreadId;<br />     m_hMyThread = CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)MyThreadProc, this,0,&dwThreadId);<br
21.driverbase-多线程PsCreateSystemThread
hgy413的专栏
08-17 511
NTKERNELAPI NTSTATUS PsCreateSystemThread( __out PHANDLE ThreadHandle,// 得到新创建的线程句柄 __in ULONG DesiredAccess,// 创建的权限 __in_opt POBJECT_ATTRIBUTES ObjectAttributes,// 线程属性,一般设为NULL __in_
驱动加载ce
07-13
驱动操作模块 写下段 写驱动必备。
权限维持_Windows内核_驱动断链隐藏技术1
08-03
具体实现代码中,攻击者会使用内核API如PsCreateSystemThread创建一个新的系统线程,然后在这个线程中执行驱动断链操作。关键函数RemoveEntryList用于从链表中删除指定的节点。通过这种方式,驱动对象将不再出现在...
西工大计算机操作系统课程设计实验报告bh05xh5.doc
07-08
- 在`PsCreateSystemThread`和`PspCreateThread`函数中添加调试信息打印,记录线程创建情况。 - 重新编译WRK内核,并在虚拟机中运行,通过WinDbg观察创建线程的信息。 **四、实验分析** - 等待队列的循环结构...
操作系统实验报告四.pdf
10-08
在WRK内核的create.c文件中,通过添加DbgPrint函数,记录系统线程(PsCreateSystemThread)和应用线程(PspCreateThread)的创建,从而在WinDbg中动态查看线程创建的情况。 实验分析中指出,WaitBlockList是等待...
PsCreateSystemThread()函数的还原
pureman_mega的博客
06-09 1061
主要是对传入的参数进行检查,再调用PspCreateThread() typedef struct _client_id { PVOID UniqueProcess; PVOID UniqueThread; }CLIENT_ID,* PCLIENT_ID; typedef struct _unknown { UNONG num1; ULONG num2; ...
驱动开发之 创建线程函数PsCreateSystemThread
Lydia的博客
06-13 7650
函数原型: NTSTATUS PsCreateSystemThread(   _Out_      PHANDLE ThreadHandle,   _In_       ULONG DesiredAccess,   _In_opt_   POBJECT_ATTRIBUTES ObjectAttributes,   _In_opt_   HANDLE ProcessHandle,  
驱动开发之 创建线程函数PsCreateSystemThread
06-18 169
PsCreateSystemThread 创建一个执行在内核模式的系统线程。 注意:创建线程必须用函数PsTerminateSystemThread强制线程结束。否则该线程是无法自动退出的。 函数原型: [cpp] view plain copy print? NTSTATUSPsCreateSystemThread( _Ou...
<学习笔记>Windows驱动开发技术详解__驱动程序的同步处理
The New Old Things
09-28 6138
如果驱动程序没有很好地处理同步问题,操作系统的性能就会下降,甚至出现死锁等现象。 基本概念 1.问题的引出 下面这段代码: int number; void Foo() { number++; //做一些事情 number--
Windows驱动 - 事件
qq726232111的博客
12-22 623
0x00 函数 KeWaitForSingleObject将当前线程置于等待状态,直到给定的Dispatcher对象被设置为一个信号状态,或者(可选)直到等待超时。 PsCreateSystemThread 创建一个以内核模式执行并返回线程句柄的系统线程。 PsTerminateSystemThread 终止当前系统线程。 ZwClose关闭一个对象句柄。 KeInitializeEvent 将事件对象初始化为同步(单个侍者)或通知类型事件,并将其设置为已发出信号或未发出信号的状态。 KeS..
驱动开发(12)内核中的多线程和同步对象
zuishikonghuan的博客
05-03 3263
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:在内核模式下创建线程在驱动程序中创建线程的方法是调用 PsCreateSystemThread 内核函数,此函数即可以创建系统线程,也可以创建用户线程。此函数的原型如下:NTSTATUS PsCreateSystemThread( _Out_ PHANDLE
Windows系统进程
lyyyuna 的小花园
05-03 1443
系统空闲进程(Idle)该进程的ID为0,其中每个处理器或核对应有一个线程。System进程在Windows XP和Windows Server 2003中改进程的ID为4,它包含了内核模式系统进程。系统辅助线程,以及执行体和驱动程序通过PsCreateSystemThread创建的线程,都在System进程中。会话管理器(Session manager, smss.exe)这是Windows系统中
在Windows驱动sys程序用c++写一段socket通信代码
最新发布
05-30
status = PsCreateSystemThread(&hThread, THREAD_ALL_ACCESS, NULL, NULL, NULL, SocketThread, NULL); if (!NT_SUCCESS(status)) { DbgPrint("[socket] Error: PsCreateSystemThread failed with error %d\n", ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值