草庐IT

Windows 内核驱动程序 : Does the "HANDLE UniqueThread" in "CLIENT_ID CreatingThreadId" is the same during the process loading?

coder 2024-06-20 原文

我正在尝试编写一个 APC dll 注入(inject)驱动程序,我找到了 this示例并考虑根据我的需要对其进行修改。

在我理解了代码之后,我想到了如何修改它(我的问题由此而来)。

code ,作者使用了PsLookupThreadByThreadId接收指向目标进程的 ETHREAD 结构的引用指针。

PsLookupThreadByThreadId(pSpi->Threads[0].ClientId.UniqueThread,&Thread)

但要得到 SYSTEM_THREAD_INFORMATION对于UniqueThread handle ,他用过ZwQuerySystemInformation

我想在加载 ntdll 后立即加载我的 dll,所以我想使用 PsSetCreateProcessNotifyRoutineEx并保存 UniqueThread来自 PS_CREATE_NOTIFY_INFO当我的目标进程调用回调时,我得到了。

在加载 ntdll 之后,我会知道这要感谢 PsSetLoadImageNotifyRoutineEx我可以使用他的 APC 注入(inject)逻辑注入(inject)我的 dll。

我的目标是将我的 dll 注入(inject) PloadImageNotifyRoutine回调,但不要使用 ZwQuerySystemInformation正如他为获得 UniqueThread 所做的那样, 但将其保存在 PcreateProcessNotifyRoutineEx 中回调。

因此,我的问题是:我可以信任 UniqueThread 吗?我从 PS_CREATE_NOTIFY_INFO 得到在所有进程加载时间内是否相同?

最佳答案

I want to use PsSetCreateProcessNotifyRoutineEx and save the UniqueThread from the PS_CREATE_NOTIFY_INFO I got when the callback is called for the process I'm targeting.

关于 CreatingThreadId 来自 PS_CREATE_NOTIFY_INFO

The process ID and thread ID of the process and thread that created the new process

此 id 不是针对新创建的进程/线程,而是针对创建者。如果你想在 PloadImageNotifyRoutine 回调中注入(inject)自己的 dll - PcreateProcessNotifyRoutineEx 对你没用。

图像映射到目标进程时调用的 PloadImageNotifyRoutine - 内部 ZwMapViewOfSection .您需要检查 ProcessId(PcreateProcessNotifyRoutineEx 的第二个参数 - 加载图像的进程的进程 ID)是否等于 PsGetCurrentProcessId() .这意味着图像已加载到当前进程,您可以使用 KeGetCurrentThread() - 你根本不需要PsLookupThreadByThreadId

I want to load my dll right after ntdll is loaded

此刻,任何用户模式结构都在处理中,但尚未初始化。因为它是由 ntdll 初始化的。结果 - 如果你注入(inject)你的 apc 并在此时强制执行它 - 你会遇到进程崩溃。仅此而已

我可以建议您在加载 kernel32.dll 时注入(inject)您的 dll。在这里你需要检查这是作为 dll 加载,而不仅仅是图像映射 - 检查线程 teb 中的 ArbitraryUserPointer - 它是否指向 L"*\\kernel32.dll" : smss.exe 在创建 \\KnownDlls 期间映射 kernel32.dll (在本例中为 ArbitraryUserPointer == 0) , wow64 处理多个时间映射 kernel32.dll(32 位和 64 位),L"WOW64_IMAGE_SECTION"L"NOT_AN_IMAGE" 名称在 任意用户指针

关于Windows 内核驱动程序 : Does the "HANDLE UniqueThread" in "CLIENT_ID CreatingThreadId" is the same during the process loading?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50304383/

ampthecodenoreferrernoopenerwindowswinapidriverwindows-kernel

有关Windows 内核驱动程序 : Does the "HANDLE UniqueThread" in "CLIENT_ID CreatingThreadId" is the same during the process loading?的更多相关文章

  1. ruby - 在 Ruby 程序执行时阻止 Windows 7 PC 进入休眠状态 - 2

    我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0

  2. ruby-on-rails - rails : "missing partial" when calling 'render' in RSpec test - 2

    我正在尝试测试是否存在表单。我是Rails新手。我的new.html.erb_spec.rb文件的内容是:require'spec_helper'describe"messages/new.html.erb"doit"shouldrendertheform"dorender'/messages/new.html.erb'reponse.shouldhave_form_putting_to(@message)with_submit_buttonendendView本身,new.html.erb,有代码:当我运行rspec时,它失败了:1)messages/new.html.erbshou

  3. ruby-on-rails - 由于 "wkhtmltopdf",PDFKIT 显然无法正常工作 - 2

    我在从html页面生成PDF时遇到问题。我正在使用PDFkit。在安装它的过程中,我注意到我需要wkhtmltopdf。所以我也安装了它。我做了PDFkit的文档所说的一切......现在我在尝试加载PDF时遇到了这个错误。这里是错误:commandfailed:"/usr/local/bin/wkhtmltopdf""--margin-right""0.75in""--page-size""Letter""--margin-top""0.75in""--margin-bottom""0.75in""--encoding""UTF-8""--margin-left""0.75in""-

  4. ruby-on-rails - Rails 源代码 : initialize hash in a weird way? - 2

    在rails源中:https://github.com/rails/rails/blob/master/activesupport/lib/active_support/lazy_load_hooks.rb可以看到以下内容@load_hooks=Hash.new{|h,k|h[k]=[]}在IRB中,它只是初始化一个空哈希。和做有什么区别@load_hooks=Hash.new 最佳答案 查看rubydocumentationforHashnew→new_hashclicktotogglesourcenew(obj)→new_has

  5. ruby-on-rails - Rails 3 I18 : translation missing: da. datetime.distance_in_words.about_x_hours - 2

    我看到这个错误:translationmissing:da.datetime.distance_in_words.about_x_hours我的语言环境文件:http://pastie.org/2944890我的看法:我已将其添加到我的application.rb中:config.i18n.load_path+=Dir[Rails.root.join('my','locales','*.{rb,yml}').to_s]config.i18n.default_locale=:da如果我删除I18配置,帮助程序会处理英语。更新:我在config/enviorments/devolpment

  6. ruby - 检查 "command"的输出应该包含 NilClass 的意外崩溃 - 2

    为了将Cucumber用于命令行脚本,我按照提供的说明安装了arubagem。它在我的Gemfile中,我可以验证是否安装了正确的版本并且我已经包含了require'aruba/cucumber'在'features/env.rb'中为了确保它能正常工作,我写了以下场景:@announceScenario:Testingcucumber/arubaGivenablankslateThentheoutputfrom"ls-la"shouldcontain"drw"假设事情应该失败。它确实失败了,但失败的原因是错误的:@announceScenario:Testingcucumber/ar

  7. ruby-on-rails - 新 Rails 项目 : 'bundle install' can't install rails in gemfile - 2

    我已经像这样安装了一个新的Rails项目:$railsnewsite它执行并到达:bundleinstall但是当它似乎尝试安装依赖项时我得到了这个错误Gem::Ext::BuildError:ERROR:Failedtobuildgemnativeextension./System/Library/Frameworks/Ruby.framework/Versions/2.0/usr/bin/rubyextconf.rbcheckingforlibkern/OSAtomic.h...yescreatingMakefilemake"DESTDIR="cleanmake"DESTDIR="

  8. ruby-on-rails - 迷你测试错误 : "NameError: uninitialized constant" - 2

    我遵循MichaelHartl的“RubyonRails教程:学习Web开发”,并创建了检查用户名和电子邮件长度有效性的测试(名称最多50个字符,电子邮件最多255个字符)。test/helpers/application_helper_test.rb的内容是:require'test_helper'classApplicationHelperTest在运行bundleexecraketest时,所有测试都通过了,但我看到以下消息在最后被标记为错误:ERROR["test_full_title_helper",ApplicationHelperTest,1.820016791]test

  9. ruby-on-rails - 相关表上的范围为 "WHERE ... LIKE" - 2

    我正在尝试从Postgresql表(table1)中获取数据,该表由另一个相关表(property)的字段(table2)过滤。在纯SQL中,我会这样编写查询:SELECT*FROMtable1JOINtable2USING(table2_id)WHEREtable2.propertyLIKE'query%'这工作正常:scope:my_scope,->(query){includes(:table2).where("table2.property":query)}但我真正需要的是使用LIKE运算符进行过滤,而不是严格相等。然而,这是行不通的:scope:my_scope,->(que

  10. 使用 ACL 调用 upload_file 时出现 Ruby S3 "Access Denied"错误 - 2

    我正在尝试编写一个将文件上传到AWS并公开该文件的Ruby脚本。我做了以下事情:s3=Aws::S3::Resource.new(credentials:Aws::Credentials.new(KEY,SECRET),region:'us-west-2')obj=s3.bucket('stg-db').object('key')obj.upload_file(filename)这似乎工作正常,除了该文件不是公开可用的,而且我无法获得它的公共(public)URL。但是当我登录到S3时,我可以正常查看我的文件。为了使其公开可用,我将最后一行更改为obj.upload_file(file

随机推荐