线程入口地址 类封装

最新推荐文章于 2024-04-14 12:39:17 发布
最新推荐文章于 2024-04-14 12:39:17 发布
阅读量711 收藏
点赞数
分类专栏: 内核驱动全部集合 
#pragma once
typedef LONG NTSTATUS;
typedef NTSTATUS(WINAPI *NTQUERYINFORMATIONTHREAD)(
	HANDLE ThreadHandle,
	ULONG ThreadInformationClass,
	PVOID ThreadInformation,
	ULONG ThreadInformationLength,
	PULONG ReturnLength);
typedef enum _THREADINFOCLASS {
	ThreadBasicInformation,
	ThreadTimes,
	ThreadPriority,
	ThreadBasePriority,
	ThreadAffinityMask,
	ThreadImpersonationToken,
	ThreadDescriptorTableEntry,
	ThreadEnableAlignmentFaultFixup,
	ThreadEventPair_Reusable,
	ThreadQuerySetWin32StartAddress,
	ThreadZeroTlsCell,
	ThreadPerformanceCount,
	ThreadAmILastThread,
	ThreadIdealProcessor,
	ThreadPriorityBoost,
	ThreadSetTlsArrayAddress,   // Obsolete
	ThreadIsIoPending,
	ThreadHideFromDebugger,
	ThreadBreakOnTermination,
	ThreadSwitchLegacyState,
	ThreadIsTerminated,
	ThreadLastSystemCall,
	ThreadIoPriority,
	ThreadCycleTime,
	ThreadPagePriority,
	ThreadActualBasePriority,
	ThreadTebInformation,
	ThreadCSwitchMon,          // Obsolete
	ThreadCSwitchPmu,
	ThreadWow64Context,
	ThreadGroupInformation,
	ThreadUmsInformation,      // UMS
	ThreadCounterProfiling,
	ThreadIdealProcessorEx,
	MaxThreadInfoClass
} THREADINFOCLASS;

class FindThreadStaAddr
{
public:
	FindThreadStaAddr(void);
	~FindThreadStaAddr(void);
	DWORD GetThreadStartAddr1(DWORD dwThreadId);
};
extern int biaohao1;
#include "StdAfx.h"
#include "FindThreadStaAddr.h"
DWORD xianchengid_fuben = 0;
int biaohao1 = 0;
FindThreadStaAddr::FindThreadStaAddr(void)
{
}

FindThreadStaAddr::~FindThreadStaAddr(void)
{
}


DWORD FindThreadStaAddr::GetThreadStartAddr1(DWORD dwThreadId)
{
	xianchengid_fuben = dwThreadId;
	HMODULE hNtdll = LoadLibrary(_T("ntdll.dll"));
	if (!hNtdll)
	{
		return 0;
	}
	//TRACE("\n李赛赛%d------------------------------", xianchengid_fuben);
	NTQUERYINFORMATIONTHREAD NtQueryInformationThread = NULL;
	NtQueryInformationThread = (NTQUERYINFORMATIONTHREAD)
		GetProcAddress(hNtdll, "NtQueryInformationThread");
	if (!NtQueryInformationThread)
	{
		return 0;
	}

	HANDLE ThreadHandle = NULL;
	ThreadHandle = OpenThread(THREAD_QUERY_INFORMATION, FALSE, dwThreadId);
	if (!ThreadHandle)
	{
		return 0;
	}

	DWORD dwStaAddr = NULL;
	DWORD dwReturnLength = 0;
	//if (NtQueryInformationThread(ThreadHandle, ThreadQuerySetWin32StartAddress,
	//	&dwStaAddr, sizeof(dwStaAddr), &dwReturnLength))
	//{
	//	return 0;
	//}
	NtQueryInformationThread(ThreadHandle, ThreadQuerySetWin32StartAddress, &dwStaAddr, sizeof(dwStaAddr), &dwReturnLength);
	TRACE("\n李赛赛%x------------------------------", dwStaAddr);
	//if (dwStaAddr == 0x5cb091f0)
	//{
	//	return xianchengid_fuben;
	//}
	if (dwStaAddr == 0x00bed3b8)
	{
		biaohao1 = 1;
		return xianchengid_fuben;
	}
	//return dwThreadId;
	//return dwStaAddr;//返回开始地址
	return 0;
}

 

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用API NtQueryInformationThread和I_QueryTagInformation实现对Windows日志监控的绕过
weixin_33895016的博客
09-14 1614
本文讲的是利用API NtQueryInformationThread和I_QueryTagInformation实现对Windows日志监控的绕过, 0x00 前言 在上篇文章《渗透技巧——Windows日志的删除与绕过》中提到一个绕过Windows日志监控的思路:使用API NtQueryInformationThread和I_QueryTagIn...
VMP3.6的反调试和反虚拟机
墨鱼菜鸡
09-09 770
背景 看雪上有人泄露了3.6.0.1406,第一时间先下载下来,然后加壳之后扔进x32dbg,A debugger has been found....... 还能怎么办?右键回收站。 分析 正准备放弃的时候,想了想要不在看看,好吧那就在看看,结果一段瞎分析之后定位到了scylla没有处理完善的函数NtQueryInformation...
NtQuerySystemInformation判断线程是否被挂起/判断线程状态
killalarm的专栏
09-23 6139
http://www.buguw.com/ntquerysysteminformation%e5%88%a4%e6%96%ad%e7%ba%bf%e7%a8%8b%e6%98%af%e5%90%a6%e8%a2%ab%e6%8c%82%e8%b5%b7%e5%88%a4%e6%96%ad%e7%ba%bf%e7%a8%8b%e7%8a%b6%e6%80%81.html
网络靶场实战-反调试技术(下)
最新发布
蛇矛实验室
04-14 543
通过检测自身父进程来判定是否被调试,原理非常简单,我们的系统在运行程序的时候,绝大多数应用程序都是由explorer.exe这个父进程派生而来的子进程,也就是说如果没有被调试其得到的父进程就是explorer.exe的进程PID,而如果被调试则该进程的父进程PID就会变成调试器的PID值,通过对父进程的检测即可实现检测是否被调试的功能。需要注意的是,虽然使用 ThreadHideFromDebugger 可以增加程序的安全性,但它并不是绝对的安全措施,因为仍然存在其他方法可以绕过或检测到线程隐藏。
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 1339
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
NtQueryInformationThread 0x9 ThreadQuerySetWin32StartAddress 问题
你连心爱的女人的大便都不敢吃, 还敢说爱她
11-23 1101
根据MSDN If this parameter is the ThreadQuerySetWin32StartAddress value of the THREADINFOCLASS enumeration, the function returns the start address of the thread. Note that on versions of Windows prior t...
线程封装
05-18
在编程领域,线程是操作系统分配CPU执行时间的基本单元,...在提供的文件列表中,"线程"可能是包含这个封装线程的源代码文件,你可以通过查看和学习这个的实现,进一步理解如何在VC++环境中有效地管理和控制线程
C++封装线程的实现方法
09-04
`AfxBeginThread`是一个MFC库提供的函数,用于创建一个新的线程,这里的`_ThreadEntry`是线程入口点函数。 线程提供了一系列对外公开的方法,如`Startxxx()`, `Suspendxxx()`, `Resumexxx()`, 和 `Stopxxx()`,...
vc++工作线程封装
10-15
LPTHREAD_START_ROUTINE lpStartAddress, // 线程入口函数 LPVOID lpParameter, // 传递给线程函数的参数 DWORD dwCreationFlags, // 创建标志 LPDWORD lpThreadId // 返回新线程ID ); ``` 封装线程通常包括...
Windows 多线程API C++封装
07-04
`CreateThread`函数需要提供线程函数的入口地址、初始线程堆栈大小、线程优先级等参数。然而,将这些功能封装到C++中,可以隐藏底层的复杂性,提供更友好的接口。 封装后的C++可能包含以下成员: 1. **构造...
Windows线程封装(VC++)
07-07
"Windows线程封装(VC++)"旨在简化这个过程,通过的方式对线程进行封装,使得开发者能够更高效地创建和管理线程。这种封装通常会涉及线程的创建、同步、通信和销毁等关键功能。 在描述中提到的“使用似ATL的...
查询线程入口地址源码
01-13
查询线程入口地址源码
Windows-EventLog-Bypass:使用来自TEB的subProcessTag值来标识事件日志线程
05-15
Windwos-EventLog-Bypass 使用来自TEB的subProcessTag值来标识事件日志线程。 使用NtQueryInformationThread API和I_QueryTagInformation API获取线程的服务名称。 自动终止事件日志服务线程。 因此,系统将无法收集日志,同时事件日志服务似乎正在运行。 借鉴: 和 有关它的详细信息: 更新: 挂起或恢复Eventlog服务的线程。用于停止或恢复系统以收集日志:
<转>内核层 进程列举 NtQuerySystemInformation
weixin_33721344的博客
11-29 134
/*--------- 1.c -----------*/ #include "1.h"   //---------列举进程---------   NTSTATUS EnumProcess()   {   int iCount = 1;    //进程计数   NTSTATUS status;   //返回值   PVOID pSi = NULL; /*指向SystemInformationCla...
NtQuerySystemInformation的使用
乐朝夕与之共
12-19 8431
今天,我们主要讨论的是一个函数NtQuerySystemInformation(ZwQuerySystemInformation)。当然,你不要小看这么一个函数,它却为我们提供了丰富的系统信息,同时还包 括对某些信息的控制和设置。以下是这个函数的原型:  typedef NTSTATUS (__stdcall *NTQUERYSYSTEMINFORMATION)     (IN      S
获取某个进程的所有线程ID和入口地址
吾无法无天的博客
02-14 3118
因为有个要定位线程头部特征的需要(有些游戏调试器一附加就立马死掉,多半是有个线程在搞鬼,杀掉这个线程就可以正常附加调试了),首先要找到线程入口地址,在网上找了下,发现在获取64位程序的线程信息时,入口地址是错的(64位的地址溢出了),稍稍改动了一下(要编译为64位) #include <windows.h> #include <tlhelp32.h> #include ...
操作系统[系统学习二]
weixin_40996518的博客
09-09 322
文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,
得到线程入口地址的方式
weixin_30909575的博客
01-13 490
要获取入口地址,可以用Native API: NtQueryInformationThread,以ThreadQuerySetWin32StartAddress为参数 具体代码: .h: #pragma once typedef LONG NTSTATUS; typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE Th...
Delphi中的线程.doc
02-13
TThread封装了Windows API中的CreateThread函数,它简化了线程的创建过程。创建线程时,通常需要指定线程的执行函数,即线程入口点,以及传递给线程函数的参数。TThread提供了一个Execute方法,该方法相当于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值