Внедрение длл через QueueUserAPC

coocky

Из юзермода ты его не проверишь

Ты сможешь тока проверить Alerted\Alertable . Да и я уверен, что ты не найдешь таких потоков в обычных запущенных приложениях . Разве что в explorer.exe, может, есть 1 такой поток в этом состоянии. Но, ИМХО, если нет то это тупиковый путь для внедрения в систему из юзермода.

JamesB

Код (Text):

1. PETHREAD Thread;
2. Thread->Tcb.Alertable = TRUE;
3. Thread->Tcb.ApcState.KernelApcPending = TRUE;

Лишнее.

 

coocky
Это не то. Это состояние исполнения потока. То есть в каком режиме он находится.
The execution state of the thread. Permitted values are drawn from the enumeration

Код (Text):

1. THREAD_STATE.
2. typedef enum {
3. StateInitialized,
4. StateReady,
5. StateRunning,
6. StateStandby,
7. StateTerminated,
8. StateWait,
9. StateTransition,
10. StateUnknown
11. } THREAD_STATE;

Для проверки надо заюзать
ZwTestAlert

 

coocky
Да пардон , я и забыл.
Значит никак не узнаешь из юзера (если тока косвенно послав апц и увидев что ниче не выполнилось :-D)

Попробуй поюзать ZwAlertThread. Тока если поток без UserApcPending то ничего не произойдет.
Объяснения смотри выше
Сам ты поток из юзера в алертейбл не переведешь , мсдн пишет :

Код (Text):

1. A thread enters an alertable state by using SleepEx, SignalObjectAndWait, WaitForSingleObjectEx, WaitForMultipleObjectsEx, or MsgWaitForMultipleObjectsEx to perform an alertable wait operation.

Но это если поток создаешь ты и вызываешь в его процедуре соответствующие функции.