NtCreateThread: CreateThread или CreateRemoteThread

katrus · Mar 4, 2008

Можно ли как нибудь в хуке на ZwCreateThread определить был ли он вызван через CreateThread или CreateRemoteThread?

Freeman · Mar 4, 2008

CreateThread([parameters])=CreateRemoteThread(-1,[parameters])

Clerk · Mar 5, 2008

Определить что поток удалённый - можно из UserMode.

Clerk · Mar 5, 2008

Определить Id процесса, создавшего поток, создавшего текущий процесс и текущего процесса.
Поток удалённый, если: Id процесса создавшего поток не равен текущему PID и не равен Id процесса, создавшего текущий процесс. Определить идентификатор процесса, в котором создаётся поток можно через его хэндл(1-й параметр): ZwQueryInformationProcess(InfoClass=ProcessBasicInformation, поле ClientId.UniqueProcess).
Кстати CreateThread->CreateRemoteThread.

n0name · Mar 5, 2008

hProcess == -1 => CreateThread

Clerk · Mar 5, 2008

Ведь можно открыть текущий процесс, затем передать полученный хэндл в CreateThread.

n0name · Mar 5, 2008

Clerk
ну попорбуй передать его в CreateThread...

Clerk · Mar 6, 2008

Имел ввиду в CreateRemoteThread

Log in or Sign up

NtCreateThread: CreateThread или CreateRemoteThread

katrus New Member

Freeman New Member

Clerk Забанен

Clerk Забанен

n0name New Member

Clerk Забанен

n0name New Member

Clerk Забанен

Log in or Sign up

NtCreateThread: CreateThread или CreateRemoteThread

katrus New Member

Freeman New Member

Clerk Забанен

Clerk Забанен

n0name New Member

Clerk Забанен

n0name New Member

Clerk Забанен

Useful Searches