CreateProcess + NtCreateThread + Windows 7

Удивительная штука выясняется. Похоже в семерке при создании процесса не дергается NtCreateThread. Никто не в курсе с чем связаны такие кондибобрики?

 

поток создаётся из ринг0. похукать не получается? есть другие методы, на форуме уже было это, используйте поиск.

 

Достаточно хукнуть ZwResumeThread. Этого вполне достаточно в большинстве случаев. Работает и в XP и в Vista и в W7

 

Спасибо за помощь, уже сам вкурил.
Созданием процесса теперь занимается NtCreateUserProcess, которая и создает поток. Хорошо хоть NtResumeThread из юзермода дергается.

похукать поучается, заставить работать на семерке не получалось )

 

может Rtl? а не Nt? Чем и везде?
ADD: А да 7ffe0300,Rtl - проще вызвать

 

Начиная с Vista NtCreateThreadEx используется, а NtCreateThread для совместимости

Код (Text):

1. typedef struct _CREATE_THREAD_EX_BUFFER {
2.     ULONG Length;
3.     ULONG Unknown1;
4.     ULONG Unknown2;
5.     PCLIENT_ID cid;
6.     ULONG Unknown4;
7.     ULONG Unknown5;
8.     ULONG Unknown6;
9.     PVOID *TEB;
10.     ULONG Unknown8;
11. } CREATE_THREAD_EX_BUFFER,*PCREATE_THREAD_EX_BUFFER;
12.  
13. NTSTATUS
14. NtCreateThreadEx(
15.     OUT PHANDLE ThreadHandle,
16.     IN ACCESS_MASK DesiredAccess,
17.     IN POBJECT_ATTRIBUTES ObjectAttributes,
18.     IN HANDLE ProcessHandle,
19.     IN ULONG InitialEip,
20.     IN ULONG InitialValueInStack OPTIONAL,
21.     IN ULONG ThreadState,    /// Old "BOOLEAN CreateSuspended"
22.     IN ULONG StackZeroBits,
23.     IN ULONG SizeOfStackCommit OPTIONAL,
24.     IN ULONG SizeOfStackReserve OPTIONAL,
25.     OUT PCREATE_THREAD_EX_BUFFER ClientId
26. );