PsCreateSystemThread函数说明

最新推荐文章于 2020-12-22 16:32:46 发布
最新推荐文章于 2020-12-22 16:32:46 发布
阅读量4k 收藏 1
点赞数
分类专栏: 函数说明 文章标签: attributes ddk null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zylc369/article/details/7026145
版权 
// 创建新线程
NTSTATUS 
PsCreateSystemThread(
    OUT PHANDLE ThreadHandle,                           //用于输出,这个参数得到新创建的线程句柄
    IN ULONG DesiredAccess,                             //是创建的权限
    IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,   //是该线程的属性,一般设为NULL
    IN HANDLE ProcessHandle OPTIONAL,                  //指定是创建用户线程还是系统进程。如果该值为NULL,则为创系统线程。如果该值是一个进程句柄,则新创建的线程属于这个指定的进程。DDK提供的宏NtCurrentProcess可以得到当前进程的句柄。
    OUT PCLIENT_ID ClientId OPTIONAL,                  //为新线程的运行地址
    IN PKSTART_ROUTINE StartRoutine,                    //为新线程接收的参数
    IN PVOID StartContext
    );
创建线程必须用函数PsTerminateSystemThread强制线程结束。否则该线程是无法自动退出的。

i不歪
关注
专栏目录
进程线程创建过程
hambaga的博客
03-10 1852
一、进程创建过程 所有进程都通过 PspCreateProcess 函数创建,包括 System 进程。它被三个函数调用,分别是NtCreateProcessEx、PsCreateSystemProcess 和 PspInitPhase0 。 NtCreateProcessEx 是 CreateProcess 的内核服务; PspInitPhase0 函数是系统初始化早期调用的,它创建了 System 进程,System 进程的句柄保存在全局变量 PspInitialSystemProcessHandle
驱动开发(12)内核中的多线程和同步对象
zuishikonghuan的博客
05-03 3271
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:在内核模式下创建线程在驱动程序中创建线程的方法是调用 PsCreateSystemThread 内核函数,此函数即可以创建系统线程,也可以创建用户线程。此函数的原型如下:NTSTATUS PsCreateSystemThread( _Out_ PHANDLE
通过 HOOK PsCreateSystemThread 监控线程,入口函数特征码对比来过hs防护软件的保护,asm源码非常不错
05-15
通过 HOOK PsCreateSystemThread 监控线程,入口函数特征码对比来过hs防护软件的保护,asm源码非常不错
PsCreateSystemThread
125096
08-01 1061
HANDLE hSystemThread,hMyThread; PsCreateSystemThread(&hSystemThread,NULL,NULL,NULL,NULL,ThreadSystemStart,NULL); PsCreateSystemThread(&hMyThread,NULL,NULL,NtCurrentProcess(),NULL,ThreadUserStart,NULL)
CreateThread,AfxBeginThread,PsCreateSystemThread
sanfenlu的专栏
07-07 3283
<br />先举一些使用的例子:<br />1):<br />  //在类中创建一个线程:<br />void CQboxMacDlg::OnOK() <br />{<br />   // --------------------------<br />    DWORD dwThreadId;<br />     m_hMyThread = CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)MyThreadProc, this,0,&dwThreadId);<br
驱动程序多线程 PsCreateSystemThread
07-27 1802
内核函数PsCreateSystemThread负责创建新线程。该函数可以创建两种线程,一种是用户线程,它属于当前进程中的线程。另一种是系统线程,系统线程不属于当前用户进程,而是属于系统进程,一般PID为4,名字为“System”的进程。 1 2 3 4 5 6 7 8 9 10 11 12 ...
PsCreateSystemThread()函数的还原
pureman_mega的博客
06-09 1090
主要是对传入的参数进行检查,再调用PspCreateThread() typedef struct _client_id { PVOID UniqueProcess; PVOID UniqueThread; }CLIENT_ID,* PCLIENT_ID; typedef struct _unknown { UNONG num1; ULONG num2; ...
获取函数当前和原地址
04-20
**函数说明**: 该函数用于获取指定系统服务例程的地址。其参数为一个宽字符字符串,通常表示所需服务例程的名字。 **变量说明**: - `UNICODE_STRING Old_NtProcess;`:定义了一个`UNICODE_STRING`类型的结构体...
返回地址HOOK
0xC0000005
11-25 1087
通过几次栈回溯,找到需要hook的地点,将返回地址替换为自己的hook函数。  这种方法应用场景应该不常见,但对于之前提到的《PsSetCreateThreadNotify回调PsLookupThreadByThreadId失败》,这应该是一个不错的解决方案。下面详细说明。 第一次回溯,找到了上一级调用函数,在这里为“PspCreateThread”。在这里HOOK依然不能成功调用“P
Windows驱动开发之线程与同步事件
enjoy5512的博客
07-07 2613
Windows驱动开发 1) 使用系统线程 2) 线程中睡眠 3) 使用同步事件
驱动开发之 创建线程函数PsCreateSystemThread
Lydia的博客
06-13 7709
函数原型: NTSTATUS PsCreateSystemThread(   _Out_      PHANDLE ThreadHandle,   _In_       ULONG DesiredAccess,   _In_opt_   POBJECT_ATTRIBUTES ObjectAttributes,   _In_opt_   HANDLE ProcessHandle,  
21.driverbase-多线程PsCreateSystemThread
hgy413的专栏
08-17 514
NTKERNELAPI NTSTATUS PsCreateSystemThread( __out PHANDLE ThreadHandle,// 得到新创建的线程句柄 __in ULONG DesiredAccess,// 创建的权限 __in_opt POBJECT_ATTRIBUTES ObjectAttributes,// 线程属性,一般设为NULL __in_
驱动开发之 创建线程函数PsCreateSystemThread
06-18 181
PsCreateSystemThread 创建一个执行在内核模式的系统线程。 注意:创建线程必须用函数PsTerminateSystemThread强制线程结束。否则该线程是无法自动退出的。 函数原型: [cpp] view plain copy print? NTSTATUSPsCreateSystemThread( _Ou...
<学习笔记>Windows驱动开发技术详解__驱动程序的同步处理
The New Old Things
09-28 6160
如果驱动程序没有很好地处理同步问题,操作系统的性能就会下降,甚至出现死锁等现象。 基本概念 1.问题的引出 下面这段代码: int number; void Foo() { number++; //做一些事情 number--
Windows驱动 - 事件
qq726232111的博客
12-22 639
0x00 函数 KeWaitForSingleObject将当前线程置于等待状态,直到给定的Dispatcher对象被设置为一个信号状态,或者(可选)直到等待超时。 PsCreateSystemThread 创建一个以内核模式执行并返回线程句柄的系统线程。 PsTerminateSystemThread 终止当前系统线程。 ZwClose关闭一个对象句柄。 KeInitializeEvent 将事件对象初始化为同步(单个侍者)或通知类型事件,并将其设置为已发出信号或未发出信号的状态。 KeS..
"FatFS文件系统函数详细说明及使用方法
本文将重点介绍FatFS文件系统的相关函数及使用方法。 FATFS文件系统包括了一系列函数,用于进行文件系统的操作。这些函数为应用程序提供了方便的接口,可以进行文件的打开、关闭、读取、写入、定位、截断、同步等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值