PsSetCreateThreadNotify设置的回调函数中调用PsLookupThreadByThreadId失败。
原因在此。
在这个回调中因微软的疏忽,VISTA之前的系统调用PsLookupThreadByThreadId查找ThreadId对应的ETHREAD一定会失败。
因此应采用二次hook:
1.首先保存此处的三个参数,然后找到调用ThreadNotifyRoutine的函数的返回地址,替换为hook函数的地址
2.在hook函数中进行所需的操作,之后返回原来的返回地址。
目前这只是个思路,还未实现。(参见《 返回地址HOOK》。注:已稳定实现。)
有人提供了另一个解决的方法,感觉涉及到特征码,通用性不够好,但至少解决了问题。
方法在此。
在这个回调中因微软的疏忽,VISTA之前的系统调用PsLookupThreadByThreadId查找ThreadId对应的ETHREAD一定会失败。
因此应采用二次hook:
1.首先保存此处的三个参数,然后找到调用ThreadNotifyRoutine的函数的返回地址,替换为hook函数的地址
2.在hook函数中进行所需的操作,之后返回原来的返回地址。
目前这只是个思路,还未实现。(参见《 返回地址HOOK》。注:已稳定实现。)
有人提供了另一个解决的方法,感觉涉及到特征码,通用性不够好,但至少解决了问题。
方法在此。