Win32Thread

最新推荐文章于 2023-12-06 21:56:09 发布
最新推荐文章于 2023-12-06 21:56:09 发布
阅读量1.6k 收藏 1
点赞数
文章标签: c语言 编译器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wetgsg/article/details/38434521
版权

  Win32Thread是指向_W32THREAD结构体的指针,通过这个结构体可以获得钩子所在进程ID和线程ID.该结构体定义如下。

  typedef struct _W32THREAD { PVOID pEThread ; //该指针用以获得进程ID和线程ID ULONG RefCount ;ULONG ptlW32 ;ULONG pgdiDcattr ;ULONG pgdiBrushAttr ;ULONG pUMPDObjs ;ULONG pUMPDHeap ;ULONG dwEngAcquireCount ;ULONG pSemTable ;ULONG pUMPDObj ;PVOID ptl;PVOID ppi; //该指针用以获得模块基址}W32THREAD, *PW32THREAD;_W32THREAD结构体第一个参数pEThread指向的内存偏移0x01EC处分别保存着进程ID和线程ID.注意pEThread指针指向的内存是内核内存。

  _W32THREAD结构体最后一个参数ppi指向的内存偏移0xA8处是所有模块基址的地址表, _HOOK_INFO结构体的iMod成员就标识了本钩子所属模块基址在此地址表中的位置。(每个地址占4个字节)所以通常使用ppi+0xa8+iMod*4定位模块基址的地址。注意ppi指向的内存是内核内存。

  2、实现细节首先编写程序枚举消息钩子句柄,需要得到GUI TABLE,它的地址实际上存储于User32.dll的一个全局变量中,该模块导出的函数UserRegisterWowHandlers将返回该全局变量的值。所以我们只要调用这个函数就能够得到GUI TABLE.然而UserRegisterWowHandlers是一个未公开的函数,不确定它的函数原型,需要反汇编猜出它的原型。笔者反汇编后得到的原型如下。

  typedef PSHAREDINFO (__stdcall *USERREGISTERWOWHANDLERS) (PBYTE ,PBYTE );仅知道它两个参数是两个指针,但是不知道它的两个参数的含义,所以我们无法构造出合理的参数。如果随便构造参数传进去又会导致user32.dll模块发生错误。所以通过调用这个函数接收其返回值的方法就不能用了。再次反汇编该函数的实现可以看出,在不同操作系统下该函数的最后三行代码如下。

  2K系统:(5.0.2195.7032)

  :77E3565D B880D2E477 mov eax, 77E4D280:77E35662 C20800 ret 0008 XP系统:(5.1.2600.2180)

  :77D535F5 B88000D777 mov eax, 77D70080:77D535FA 5D pop ebp:77D535FB C20800 ret 0008 2003系统:(5.2.3790.1830)

  :77E514D9 B8C024E777 mov eax, 77E724C0:77E514DE C9 leave:77E514DF C2080000 ret 0008可以看到共同点,该函数的倒数第三行代码就是将保存GUI TABLE指针的全局变量值赋值给寄存器EAX,只要我们想办法搜索到这个值即可。能够看出无论是哪个版本的函数实现中,都有 C20800代码,含义是ret 0008.我们可以自UserRegisterWowHandlers函数的入口地址开始一直搜索到C20800,找到它以后再向前搜索B8指令,搜到以后B8指令后面的四个字节数据就是我们需要的数据。代码如下。

  //获得UserRegisterWowHandlers函数的入口地址DWORD UserRegisterWowHandlers = (DWORD) GetProcAddress(LoadLibrary("user32.dll"), "UserRegisterWowHandlers");PSHAREDINFO pGUITable; //保存GUITable地址的指针for(DWORD i=UserRegisterWowHandlers; i<userregisterwowhandlers+1000; p="" i++)<="">

  { if((*(USHORT*)i==0x08c2)&&*(BYTE *)(i+2)== 0x00)

  { //已找到ret 0008指令,然后往回搜索B8 for (int j=i; j>UserRegisterWowHandlers; j——)

  { //找到B8它后面四个字节保存的数值即为GUITable地址if (*(BYTE *)j == 0xB8)

  { pGUITable = (PSHAREDINFO)*(DWORD *)(j+1);break;} }break;}得到SHAREDINFO结构指针后,它的成员pServerInfo的成员cHandleEntries就是句柄的总个数,然后循环遍历每一个句柄,找到属于指定模块的消息钩子句柄。代码如下。

  int iHandleCount = pGUITable->pServerInfo->cHandleEntries;HOOK_INFO HookInfo;DWORD dwModuleBase;struct TINFO { DWORD dwProcessID;DWORD dwThreadID;};char cModuleName[256] = {0};for (i=0; i<ihandlecount; p="" i++)<="">

  { //判断句柄类型是否为消息钩子句柄if (pGUITable->pHandleEntry[i].bType == TYPE_HOOK)

  { DWORD dwValue = (DWORD)pGUITable->pHandleEntry[i].pObject;//获得消息钩子内核对象数据GetKernelMemory(pGUITable->pHandleEntry[i].pObject, (BYTE *)&HookInfo, sizeof(HookInfo));W32THREAD w32thd;if( GetKernelMemory(HookInfo.pWin32Thread,(BYTE *)&w32thd , sizeof(w32thd)) )

  { //获取钩子函数所在模块的基址if (!GetKernelMemory((PVOID)((ULONG)w32thd.ppi+0xA8+4*HookInfo.iMod),(BYTE *)&dwModuleBase, sizeof(dwModuleBase)))

  { continue;} TINFO tInfo;//获取钩子所属进程ID和线程ID if (!GetKernelMemory((PVOID)((ULONG)w32thd.pEThread+0x1ec),(BYTE *)&tInfo, sizeof(tInfo)))

  { continue;} HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, tInfo.dwProcessID);if (hProcess == INVALID_HANDLE_VALUE)

  { continue;} //根据模块基址,获取钩子函数所属模块的名称if (GetModuleFileNameEx(hProcess, (HMODULE)dwModuleBase, cModuleName, 256))

  { OutputDebugString(cModuleName);OutputDebugString("\r\n");}

  利用上面的代码就可以找到所属病毒DLL的消息钩子句柄,然后调用UnhookWindowsHookEx函数卸载这个消息钩子就OK了。


wetgsg
关注
Win 32 多线程程序设计学习笔记之五:终止线程
11-26 972
如何在某个线程内终止另一个正在运行的线程? 1.利用TerminateThread() 放弃一个线程 BOOL TerminateThread( HANDLE hThread, DWORD dwExitCode ); 参数 hThread 欲令其结束之线程的 handle。该线程就是我们的行动目标。 dwExitCode 该线程的结束代码。 返回值 如果函数成功,则传回
Win32 Thread API学习
Kisser Loves C++
03-20 1162
第一个 API :创建一个线程 CreateThread() The CreateThread function creates a thread to execute within the address space of the calling process. HANDLE Crea
Win32 Threads
weixin_30685047的博客
10-22 253
CreateThread ( LPSECURITY_ATTRIBUTES lpThreadAttributes, SIZE_T dwStackSize, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, DWORD dwCreati...
Win32多线程的创建方法和基本使用
。。。。
11-07 8884
Summary: 总结Win32提供的创建多线程相关的API接口和基本的使用框架。 Ref: MSDN: http://msdn.microsoft.com/zh-cn/library/y6h8hye8(v=VS.100) Win32多线程的创建方法主要有: (1)CreateThread() (2)_beginthread()&&_beginthreadex() (3)
Win32 API封装Thread类[1]
quentinliu的专栏
10-15 2429
前几天在学Windows多线程程序设计,发现Win32 API用起来确实不怎么方便,特别是对于C++程序员。于是实现了一个简单的封装,技术含量当然不高,不过用起来还是比较方便的。如果你熟悉Java,你会发现这个实现有点像Java的Thread,在Java中有两种方法可以创建一个Thread:1.从Thread类继承并实现run方法:1 class MyThread extends  Threa
Win32 API封装Thread类[2]
quentinliu的专栏
10-15 971
Win32 API封装Thread类[2] 在上一篇中介绍了创建Thread的两种方法:从Thread类继承或者实现Runnable接口。有时候这并不是特别方便,我们需要的是更灵活的方法,比如像boost库中的Thread一样可以用普通函数和函数对象(functor and function object)作为构造函数参数。如果你熟悉STL,你应该熟悉bind1st和bind2nd这两个函数
win32 thread封装cthread
02-01
最近,我的兄弟问我是否有...为了支持新的类,CThread,其他支持类也同时研发。这些国家包括CMutexClass,CEventClass和CTask类。在CMutexClass和CEventClass提供资源管理,而CTask类是派生类支持同质异步线程的基类。
swift-win32:用于Swift的Win32应用程序框架
02-06
Swift-Win32是专为Swift编程语言设计的一个框架,旨在让开发者能够在Windows平台上构建原生的Win32应用程序。这个框架将C语言中的Win32 API进行了封装,提供了易于理解和使用的Swift接口,使得Swift开发者可以充分...
ThreadX5.1 Win32 Demo
04-15
这个"ThreadX5.1 Win32 Demo"是2009年的最新版本,它提供了在Win32平台上运行ThreadX操作系统的演示环境。了解ThreadX对于深入学习嵌入式系统设计和开发至关重要,因为它是一个高效、可定制且广泛使用的RTOS。 ...
threadx for win32 源码
03-01
ThreadX for Win32则是该操作系统在Windows 32位环境下的版本,它提供了类似RTOS的功能,允许开发者在Windows平台上进行多线程应用程序的开发和调试。 **一、线程管理** ThreadX的核心特性之一是线程管理。在Thread...
php-7.2.3-Win32-VC15-x86 Thread Safe官网下载
03-07
【标题】"php-7.2.3-Win32-VC15-x86 Thread Safe官网下载"指的是PHP的一个特定版本,适用于Windows操作系统。这个版本是PHP 7.2.3,它是一个32位(x86)构建,采用Visual C++ 15编译器(VC15),并且是线程安全...
从pthreadWin32thread
tuzilaopo的专栏
10-31 1080
Lilytask是以任务为单位的并行编程模型,Lilytask2.5β版最初是在Linux系统上基于POSIX thread实现的,为了更好的适应并行计算环境中的异构性,又在β版的基础上实现了for Windows版,在实现过程中,需要用Win32thread library替换POSIX thread library,下文将主要描述POSIX thread(下文称之pthread)与Win32t
win32 CreateThread
abc
06-05 797
CreateThread 网页: https://msdn.microsoft.com/en-us/library/windows/desktop/ms682453(v=vs.85).aspx Creates a thread to execute within the virtual address space of the calling process. To create a th...
WIN32 线程的一些知识
m0_62690279的博客
04-24 454
线程 线程概念 1.时间上的概念:是附属在进程上的执行体当前正在运行的具体的代码 。 创建线程:使用CreateThread()函数 HANDLE CreateThread( [in, optional] LPSECURITY_ATTRIBUTES lpThreadAttributes,//安全描述符 [in] SIZE_T dwStackSize,//堆栈的初始大小(不写系统会给出默认的 1MB大小 [in]
Win32创建线程
最新发布
2301_77816603的博客
12-06 299
这里被0加到1000那里的while循环坑惨了,找半天不知道为什么第二个文本框为什么不懂,原来是dwTime作为循环参数,但是它本身是0,因此循环不进行。被调用完毕之后,堆栈被摧毁,我们通过&num传参给线程函数后,参数的位置已经被销毁,所以传参就会失败。向线程函数并不是我们调用的,是我们在创建线程时,把线程函数的指针传参给线程,系统调用的线程函数。线程句柄就是一块令牌,有了令牌就可以进行使用,但是没有令牌也并不能影响线程的生命。线程ID是身份证明,具有唯一性,因此系统进行线程调度的时候需要用到。
Win32多线程程序设计学习(第三章)
asiwxy的博客
01-06 535
快跑与等待 在这一章中我们重温了 busy loops 的不良结果,并且学习如何使用Windows NT 的性能监视器捕捉其中的问题。我们也认识了所谓的“激发状态的对象”,并且学习如何在一个 worker 线程或一个 GUI 线程中等待一个或多个这样的对象。最后,我们看到了如何重建一个主消息循环,俾能够适当地使用 MsgWaitForMultipleObjects() 。 1. 看似闲暇却忙碌(Busy Waiting) 文章中的例子:计算圆周率 PI 第一种情况:直接调用计算圆周率的函数。.
win32api之线程知识梳理(四)
xf555er的博客
03-21 789
线程上下文(Thread Context)是指在一个线程中,当前执行代码的相关信息集合,包括寄存器状态、程序计数器、线程优先级、线程的上下文安全堆栈等等。要注意的是,若要获取线程上下文信息,需要先将线程挂起。当多个线程同时使用同一个资源(全局变量)时, 很可能会出现某些错误, 这时我们可以将这个资源变成临界资源, 然后通过临界区来使用这个临界资源临界区(critical section)是操作系统用于同步线程之间访问共享资源的一种机制,是一段被保护的代码区域。
1231
YGGkk的博客
12-03 343
#include #include #include #include struct menber {     int a;     char *s; }; void *create(void *arg) {     struct menber *temp;     temp=(struct menber *)arg;     printf("me
2.线程结构体
My classmates
10-19 1107
ETHREAD kd&amp;amp;amp;amp;amp;amp;amp;amp;amp;gt; dt _ETHREAD ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x1c0 CreateTime : _LARGE_INTEGER +0x1c0 NestedFaultCount : Pos 0, 2 Bits +0x1c0 ApcNeeded : Pos ...
Win32多线程编程指南
"Win32多线程程序设计,涵盖了线程的基础概念、创建与管理、同步机制以及在Win32环境下多线程的应用实践。该资料由Jim Beveridge和Robert Wiener撰写,并由侯捷翻译,旨在深入解析多线程编程在Windows平台上的实现与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值