NtCreateThread: CreateThread или CreateRemoteThread

katrus · 4 мар 2008

Можно ли как нибудь в хуке на ZwCreateThread определить был ли он вызван через CreateThread или CreateRemoteThread?

Freeman · 4 мар 2008

CreateThread([parameters])=CreateRemoteThread(-1,[parameters])

Clerk · 5 мар 2008

Определить что поток удалённый - можно из UserMode.

Clerk · 5 мар 2008

Определить Id процесса, создавшего поток, создавшего текущий процесс и текущего процесса.
Поток удалённый, если: Id процесса создавшего поток не равен текущему PID и не равен Id процесса, создавшего текущий процесс. Определить идентификатор процесса, в котором создаётся поток можно через его хэндл(1-й параметр): ZwQueryInformationProcess(InfoClass=ProcessBasicInformation, поле ClientId.UniqueProcess).
Кстати CreateThread->CreateRemoteThread.

n0name · 5 мар 2008

hProcess == -1 => CreateThread

Clerk · 5 мар 2008

Ведь можно открыть текущий процесс, затем передать полученный хэндл в CreateThread.

n0name · 5 мар 2008

Clerk
ну попорбуй передать его в CreateThread...

Clerk · 6 мар 2008

Имел ввиду в CreateRemoteThread

Войти или зарегистрироваться

NtCreateThread: CreateThread или CreateRemoteThread

katrus New Member

Freeman New Member

Clerk Забанен

Clerk Забанен

n0name New Member

Clerk Забанен

n0name New Member

Clerk Забанен

Войти или зарегистрироваться

NtCreateThread: CreateThread или CreateRemoteThread

katrus New Member

Freeman New Member

Clerk Забанен

Clerk Забанен

n0name New Member

Clerk Забанен

n0name New Member

Clerk Забанен

Быстрый поиск