THREADINFOCLASS结构体与FILE_INFORMATION_CLASS结构体

最新推荐文章于 2024-04-14 12:39:17 发布
最新推荐文章于 2024-04-14 12:39:17 发布
阅读量1.9k 收藏
点赞数
分类专栏: 安全开发 Windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/102483771
版权

NtQueryInformationThread函数

  THREADINFOCLASS是一个枚举结构,其值旨在作为ZwQueryInformationThreadZwSetInformationThread函数的输入。 查询或设置不同类型的信息选择不同的值。

  自从Windows NT 3.51的设备驱动程序工具包(DDK)起,THREADINFOCLASS枚举的C语言定义已在NTDDK.H标头中公开可用。 它支持ZwSetInformationThread函数的声明,该函数从内核和3.10及更高版本的NTDLL中导出,但直到2009年Windows 7的Windows驱动程序工具包(WDK)之后,甚至对于内核模式编程也没有正式记录。 这两个函数存在的内核模式文档仅提供了少数定义的值。 在Windows 10的WDK中,甚至NTDDK.H中的定义也变得具有选择性。

  Microsoft的THREADINFOCLASS或使用它的任何功能的第一个正式文档是在用于用户模式编程的软件开发工具包(SDK)中。 WINTERNL.H文件已于2002年添加到SDK中,显然是为了使Microsoft遵守有关“中间件”产品(例如但绝不限于Internet Explorer)不公平使用内部Windows API的和解协议。 该文件仅在ThreadIsIoPending情况下就提供了大大简化的C语言定义,最好正确地记录NtQueryInformationThread函数的同期文档,最好通过记录的API函数GetThreadPendingIoFlag进行访问。 此文档后来在其描述中添加了ThreadQuerySetWin32StartAddress,尽管显然没有在这种情况下使它成为标头中的定义。

  在许多已定义的情况下,某些情况只能成功用

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
结构体udp传输测试_结构体socket_CSHARP结构体UDP传输_
10-02
windows CSHARP 结构体 UDP socket 传输
驱动开发:内核文件读写系列函数
热门推荐
CSDN
06-09 1万+
在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可,而如果在内核中读写文件则应用层的API显然是无法被使用的,内核层需要使用内核专有API,某些应用层下的API只需要增加Zw开头即可在内核中使用,例如本章要讲解的文件与目录操作相关函数,多数ARK反内核工具都具有对文件的管理功能,实现对文件或目录的基本操作功能也是非常有必要的。 首先无论在内核态还是在用户态,我们调用的文件操作函数其最终都会转换为一个IRP请求,并发送到文件系统驱动上的`IRP_MJ_READ`派遣函数里面,这
网络靶场实战-反调试技术(下)
最新发布
蛇矛实验室
04-14 522
通过检测自身父进程来判定是否被调试,原理非常简单,我们的系统在运行程序的时候,绝大多数应用程序都是由explorer.exe这个父进程派生而来的子进程,也就是说如果没有被调试其得到的父进程就是explorer.exe的进程PID,而如果被调试则该进程的父进程PID就会变成调试器的PID值,通过对父进程的检测即可实现检测是否被调试的功能。需要注意的是,虽然使用 ThreadHideFromDebugger 可以增加程序的安全性,但它并不是绝对的安全措施,因为仍然存在其他方法可以绕过或检测到线程隐藏。
THREADINFOCLASS
weixin_73368512的博客
11-06 187
The THREADINFOCLASS is an enumeration whose values are intended as input to the ZwQueryInformationThread and ZwSetInformationThread functions. Different values select different types of information to query or set.Documentation Status A C-language definiti
Windows应用程序交互过程
Qsir的专栏
08-17 1052
Windows的应用程序一般包含窗口(Window),它主要为用户提供一种可视化的交互方式(窗口是由线程(Thread)创建的).Windows 系统通过消息机制来让系统和用户进行交互,用户通过触发事件来触发消息,消息(Message)被发送,保存,处理,一个线程会维护自己的一套消息队列(Message Queue)[仅当线程有对应的创建窗口和处理窗口消息时候],在发生输入事件之后,Windows 系统将事件转换为一个消息并将消息放入程序的消息队列中.程序通过执行一块称之为「消息循环」的程序代码从消息队列中
调试器攻击技术 - ThreadHideFromDebugger
zhangmiaoping23的专栏
08-07 4669
3、 ThreadHideFromDebugger 这项技术用到了常常被用来设置线程优先级的API ntdll!NtSetInformationThread(),不过这个API也能够用来防止调试事件被发往调试器。 NtSetInformationThread()的参数列表如下。要实现这一功能,ThreadHideFromDebugger(0x11)被当作ThreadInformationCla
线程基础(一)
weixin_45791547的博客
10-24 163
线程基础 一、认识java里的线程 1)java里的程序天生都是多线程的 public static void main(String[] args) { ThreadMXBean threadMXBean = ManagementFactory.getThreadMXBean(); ThreadInfo[] threadInfos = threadMXBean.dum...
关于THREADINFO结构
Tommy(凌飞)的专栏
10-27 5967
线程为窗口维护一个threadinfo结构,  threadinfo数据结构:  ------------------  |登记消息队列指针|  ------------------  |虚拟输入队列指针|  ------------------  |发送消息队列指针|  ------------------  |应答消息队列指针|  ------------------
文件删除,实际就是设置文件信息属性
心想事成
11-05 798
文件删除,实际就是设置文件信息属性即 +13 处的 SysSetInformationFileDirectFileSystemProvider::SysSetInformationFile( unsigned long, void *, struct _IO_STATUS_BLOCK *, void *, unsigned long, enum _FILE_INFORMATION_CLASS, un
C++解除文件占用
dasgk的专栏
05-28 1万+
1.解除文件占用,其含义比较
08_07_C_04_结构体指针
07-01
08_07_C_04_结构体指针08_07_C_04_结构体指针08_07_C_04_结构体指针08_07_C_04_结构体指针08_07_C_04_结构体指针08_07_C_04_结构体指针08_07_C_04_结构体指针08_07_C_04_结构体指针08_07_C_04_结构体指针08_07_C_04_...
map_use_stru_key.rar_C++ map_map结构体_strukey_strukey key
09-14
结构体作为map的key实现及测试代码
c++08.xcodeproj_结构体变量排序_源码
10-04
无特殊功能,三个结构体变量排序,初学者代码
file_to_struct.rar_结构体
09-23
用c语言写的将结构体写入文件,在从文件中读出
查看进程是否被注入线程(不在系统模块)
henuyl的博客
07-22 1519
有些进程被注入了某些恶意的线程(也可能不是恶意的) 首先我们拿到该进程的进程模块,用来对比进程中线程的模块是否在这里面 把这些模块放入到vector里面 便利该进程的所有线程获取模块的起始地址和大小,很快就可以得到伪装线程。 #pragma region 依赖 typedef enum _THREADINFOCLASS{ ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriori..
java thread info
Talk Is Cheap
02-18 1537
Java's threads are essential for building complex applications, but thread control is split across several classes in different packages added at different times in the JDK's history. This tip shows h
vc 查看文件被占用的进程
05-24 3228
#pragma once #include #include #include #include #include #include #include using namespace std; #include typedef std::basic_string, std::allocator> tstring; #include #include #pragma c
隐藏任意进程,目录/文件,注册表,端口
03-03 1293
Author: sinisterEmail: sinister@whitecell.orgHomepage:http://www.whitecell.org Date: 2002-05-08查找进程,目录/文件,注册表等操作系统将最终调用 ZwQueryDirectoryFile,ZwQuerySystemInformation,ZwXXXValueKey 等函数。要想拦截这些函数达到隐藏目的,需
linux内核file结构体的f_mode成员
05-28
Linux内核中的struct file结构体是用来表示打开文件的抽象结构体。f_mode是struct file结构体中的一个成员,它的数据类型是fmode_t,用来描述文件打开时的访问模式。fmode_t是一个无符号整型,包含以下几个标志: 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值