设为首页
收藏本站
切换到窄版
账号
自动登录
找回密码
密码
登录
加入我们
只需一步,快速开始
快捷导航
网站首页
老马博客
迦南天空
阿杰软件
电脑散热
会员动态
Space
论坛广场
BBS
新人必读
亮叔杂谈
天猫店铺
京东店铺
免费实用软件下载
内核编程技术展示
搜索
搜索
本版
帖子
用户
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛
»
论坛广场
›
置顶区
›
WINDOWS核心编程
›
隐藏线程
返回列表
发新帖
查看:
4572
|
回复:
2
隐藏线程
[复制链接]
aoskan888
aoskan888
当前离线
积分
80
3
主题
32
回帖
0
精华
铜牌会员
铜牌会员
, 积分 80, 距离下一级还需 240 积分
铜牌会员
, 积分 80, 距离下一级还需 240 积分
积分
80
收听TA
发消息
发表于 2021-4-30 05:14:16
|
显示全部楼层
|
阅读模式
在国外论坛逛发现比较火的隐藏RO线程,隐藏R3线程, 都是抹掉线程双链表,和抹掉CidTable把句柄销毁或者置零, 还有其他的方法吗? 但我发现pchunter还是能检测出来显示红色的线程,是什么原理? 非常奇怪。 摸索了下KPRCB有个waitlist (IdleThread)等待线程表,这个好像没办法抹掉。 请教下,还需要考虑哪些可以过主流ark.
回复
举报
Tesla.Angela
Tesla.Angela
当前离线
积分
36130
857
主题
2632
回帖
2
精华
管理员
此生无悔入华夏, 长居日耳曼尼亚。
积分
36130
收听TA
发消息
发表于 2021-5-6 22:46:01
|
显示全部楼层
这样子隐藏线程是没意义的,因为会导致你的线程啥都做不了。
真正聪明的办法是“借用”线程,就是让你的代码被其它线程执行。比较常用的方法是插入APC和使用WorkItem。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复
举报
iamasbcx
iamasbcx
当前离线
积分
58
2
主题
61
回帖
0
精华
铜牌会员
铜牌会员
, 积分 58, 距离下一级还需 262 积分
铜牌会员
, 积分 58, 距离下一级还需 262 积分
积分
58
收听TA
发消息
发表于 2021-5-18 20:37:05
|
显示全部楼层
借鸡下蛋?
评分
参与人数
1
水晶币
+1
收起
理由
Tesla.Angela
+ 1
借腹生子、借尸还魂。
查看全部评分
回复
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
加入我们
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2021-4-30 05:14:16
发表于 2021-5-6 22:46:01
