windows线程创建流程

已于 2024-07-16 19:50:31 修改
阅读量1.8k 收藏 3
点赞数 1
分类专栏: 调试 反调试反反调试 逆向 文章标签: 线程创建流程 线程创建
于 2019-12-23 03:36:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/103659469
版权

如果查看堆栈(正常的堆栈回溯)

所有线程的入口都是RtlUserThreadStart,

真正的流程如下.

包括远程线程 这里着重说明应用层,内核层不做具体描述.


CreateThread->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进程上下文ntdll!LdrInitializeThunk->ntdll!LdrpInitialize->ntdll!_LdrpInitialize->ntdll!LdrpInitializeThread->如果exe有Tls call LdrpCallTlsInitializers(2, LdrpImageEntry)没有忽略->ntdll!LdrpCallInitRoutine通知其它dll线程创建->ZwContrine->内核恢复上下文重设新线程入口点为ntdll!RtlUserThreadStart
然后线程就跑起来了
ntdll!RtlUserThreadStart->kernel32!BaseThreadInitThunk->call UserThreadEntry->ntdll!RtlExitUserThread->ntdll!ZwTerminateThread

监控应用层线程创建(无hook)

以下的接管代码中进程上下文都是要创建的线程上下文 直接获取当前线程就是要创建的线程,只是还没call到真正的入口函数

接着获取线程真正入口函数调用NtQueryInformationThread ->ThreadQuerySetWin32StartAddress功能获取入口地址进行过滤

1.利用dll通知 (写一个dll 专门用于监控线程创建 不调用DisableThreadLibraryCalls())

2.在主模块中 添加tls回调 或者手动插入LDR

快速得到LdrpImageEntry 这是一个LDR_DATA_TABLE_ENTRY结构

HMODULE hNtdll = GetModuleHandle(L"ntdll.dll");
    pfnLdrFindEntryForAddress LdrFindEntryForAddress = (pfnLdrFindEntryForAddress)GetProcAddress(hNtdll, "LdrFindEntryForAddress");
    LDR_DATA_TABLE_ENTRY* pEntry = NULL;

    if (NT_SUCCESS(LdrFindEntryForAddress(GetModuleHandle(NULL), &pEntry)))

效果:这里我添加了VEH 从一个xxx里面抄的

00000001	0.00000000	//
00000002	0.00000270	Stack Number : 14 tid:2908
00000002	0.00000950	ntdll.dll:0x00007FF9C57E0000
00000003	0.00000100	call NtQueryInfortionThread
00000003	0.00000400	Stack[i]:0x00007FF63F02BB0F	return to exe
00000004	0.00000500	Stack[i]:0x00007FF63F02AA2D	return to exe
00000005	0.00000600	Stack[i]:0x00007FF6409C7272	return to exe
00000006	0.00000700	Stack[i]:0x00007FF640619548	return to exe
00000007	0.00000800	Stack[i]:0x00007FF9C587EDCD	return to RtlpExecuteHandlerForException
00000008	0.00000910	Stack[i]:0x00007FF9C57E6C86	return to RtlDispatchException
00000009	0.00001010	Stack[i]:0x00007FF9C587DCFE	return to KiUserExceptionDispatcher
00000010	0.00001110	Stack[i]:0x00007FF63F02A9EC	return to exe
00000011	0.00001200	Stack[i]:0x00007FF9C5814143	return to LdrpCallInitRoutine
00000012	0.00001300	Stack[i]:0x00007FF9C581423F	return to LdrpCallTlsInitializers(2, LdrpImageEntry)
00000013	0.00001420	Stack[i]:0x00007FF9C5811C78	return to LdrpInitializeThread
00000014	0.00001520	Stack[i]:0x00007FF9C58531E1	return to _LdrpInitialize
00000015	0.00001620	Stack[i]:0x00007FF9C585313B	return to LdrpInitialize
00000016	0.00001750	Stack[i]:0x00007FF9C58530EE	return to LdrInitializeThunk
00000017	0.00001850	//

3.替换Kernel32ThreadInitThunkFunctio指针

 

4.修改PEB里面的链表信息 

4.1 模拟一个LDR_DATA_TABLE_ENTRY 插入PEB中

4.2 修改peb中一些系统的dll 入口点 比如kernel32 entrypoint

zhuhuibeishadiao
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Hello World程序背后的故事解密(RtlUserThreadStart)
沧海一粟的专栏
02-18 5635
近几个月实在是太忙了,偶然想起来博客上一看,离上次写文章居然过了两个月有余,于是手痒痒想加把劲,再码点儿技术文上来^_^   这个系列是为了挖掘出一个简单的类似Hello World程序隐藏在CRT之下的复杂性,因此在上次分析了“编译器选项和CRT”之后,今天我想再来简单分析一下从程序进程建立直到程序运行到C/C++入口函数处发生的那点儿事儿。   我们知道,在Window
Windows线程生灭 (二)
weixin_30865427的博客
11-27 160
上节中介绍了几种Windows平台创建及删除线程的api及它们的差别,这节具体介绍以下信息: 1.线程内核对象(操作系统接口CreateThread内部实现) 2.线程数据块_tiddata(C/C++运行时库的实现 _beginthreadex与_beginthread) 3.线程结束_endthreadex 下面分别介绍 一、线程内核对象 线创建时,会先创建一个线程内核对象(...
创建线程的方法(windows)
最新发布
就是那个党伟
05-16 864
windows上常用的创建线程的方法:CreateThread(),_beginthread(),std::thread。
Windows线程生灭
flyingleo1981的专栏
10-11 1299
一、线创建 Windows线程在创建时会首先创建一个线程内核对象,它是一个较小的数据结构,操作系统通过它来管理线程。新线程可以访问进程内核对象的所有句柄、进程中的所有内存及同一进程中其它线程的栈。 创建有以下几种方式,分别说明 CreateThread(...) (操作系统提供的API,尽量不要使用)_beginthread(...)_beginthreadex(...)Afx
转载:Windows C++堆破坏场景及分析
lizfs_csdn的博客
05-07 602
一个堆破坏的老故事 还记得第一次碰到堆破坏的时候,大概十年前了,当时在学校开发一个Wireshark插件,可是有一个问题我久久未能解决: 我修改后的Wireshark运行的时候偶尔启动的时候会出现程序崩溃,那时候也不会用Windbg, 后来用Visual Studio启动Wireshark, 也是偶尔报错,这个时候可以看到堆栈,只记得当时是在一个很正常的内存分配或者释放的时候出现崩溃。那么总结为两点: 偶尔重现,那么也就是我们常说的还能跑起来,跑不起来那么就重启进程,重启进程无效,那就万能方法重启机器。这
怎么解c语言逆向编码,逆向还原C语言代码 练习1
weixin_31842821的博客
05-19 748
找了个C语言100列 用来练习OD还原C语言代码 至于C+的 以后也会写我们先来看第一个程序,我们先分析Debug的 Debug为了方便调试,代码都是一对一的翻译 没做什么优化,还原起来比较好上手,先用OD载入,我们看到一个GetCommandLineA 我们知道 C语言真正的入口并不是main 而在main之前 会调用GetCommandLineA ,也就是说,我们往下面翻一下 可能会找到mai...
线创建的封装 Windows,Linux
03-09
首先,我们来看Windows系统的线创建Windows API提供了CreateThread函数来创建新的线程。这个函数接收一系列参数,包括线程函数的地址、参数、堆栈大小、创建标志等。线程函数是一个回调函数,当新线程开始执行时...
Windows下POSIX多线程编程pthreads库
08-11
1. **线创建**:`pthread_create()`函数用于创建新的线程。它接受一个线程ID参数,一个线程属性参数,一个线程函数指针以及传递给该函数的任何参数。在Windows API中,对应的函数是`CreateThread()`。 2. **线程...
Windows线Windows线程.doc
07-07
本章主要探讨了Windows线程的概念、创建与管理,以及线程间的通信方式。 线程并不是独立的可执行程序,而是应用程序内部的一个执行单元,可以看作是程序中的一个子流程。在Windows 95及后续版本中,多线程使得单个...
窗口创建_windows_
10-04
窗口创建是一项核心的编程技术,尤其在开发Windows桌面应用时至关重要。通过编程实现窗口的定时创建,可以模拟人工活动,例如在无人值守的情况下自动化执行某些任务。这在系统监控、自动测试或者特定的工作流程中...
windows API创建窗口程序
08-06
二、创建窗口的基本流程 1. 注册窗口类:在创建窗口之前,必须先注册一个窗口类。这通过`RegisterClassEx`函数完成,该函数定义了窗口的样式、消息处理函数、图标等属性。 2. 创建窗口:注册完窗口类后,可以使用`...
RtlCreateUserThread创建用户线
Rprop
02-19 5148
HANDLE WINAPI RLIBCreateThread(HANDLE hProcess, SECURITY_ATTRIBUTES *sa, SIZE_T stack, LPTHREAD_START_ROUTINE start, LPVOID param, DWORD flags, LPDWORD id ) { HANDLE handle; CLIENT_ID client_id; NT
漫谈兼容内核之二十三:关于TLS
周寅的专栏
03-13 2233
 TLS是“线程局部存储(Thread Local Storage)”的缩写,“Local”这个词有“局部”、“本地”的意思,所以也可以说是“线程本地存储”。顾名思义,这就是局部于唯一的线程、为具体线程所“私用、专用”的存储空间。这里所说的“空间”并不是“用户空间”、“系统空间”那个意义上的空间,而是指用户空间中个别变量、数组、或数据结构所占据的存储空间。    我们知道,线程并不独立拥有用户空间
蓝屏总结(一) ——基本分析方法
热门推荐
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
浅谈缓冲区溢出检查_security_cookie
zhuobattle的专栏
12-17 7418
介绍: 当应用程序启动时,程序的cookie(4字节(dword),无符号整型)被计算出来(伪随机数)并保存在 加载模块的.data节中,在函数的开头这个cookie被拷贝到栈中,位于EBP和返回地址的正前方(位于返 回地址和局部变量的中间)。   [buffer][cookie][savedEBP][savedEIP] 在函数的结尾处,程序会把这个cookie和保存在.da
堆(heap)系列_0x0A:3种方法一次性解决堆溢出问题
可乐松子的博客
07-06 2055
概述:本篇文章主要介绍堆问题中最常见的堆溢出问题的排查思路:常规思路 + 页堆思路 + 应用程序验证器思路 前提:可以看到懂得DPH(点击查看)和会使用应用程序验证器(点击查看)和WinDbg
Windows内核之线程启动的背后
eskimoer的专栏
05-28 3007
1       CreateThread函数调用后发生事情: 1.1:创建一个系统内核对象,并且初始化系统内核对象 线程的内核对象包括:context(设备上下文),使用计数,暂停计数,退出代码,已通知。 使用计数 = 2;暂停计数 = 1;退出代码 = STILL_ACTIVE;已通知=FALSE;上下文之SP(堆栈指针)= 线程的入口函数地址,上下文之IP= BaseThreadStar
MFC基本应用程序的建立.pdf
11-15
。。。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值