TP的学习笔记:根据syf大牛的《WS方法结束线程》,制作x64版本
在黑客防线2010里,有一篇文章叫《WS方法结束线程》,是syf大牛写的文章,其文具体思路如下:搜索PspExitThread的地址,Hook ObOpenObjectByPointer后,判断调用者线程是不是要结束的线程,若是,结束掉,若不是,执行原函数。
感觉这个思路很屌的样子,于是我就制作了x64的版本,思路如下:
Inline Hook PsLookupProcessByProcessId,判断调用者线程是不是要结束的线程,若是,结束掉,若不是,执行原函数。
因为搜索特征码的过程略繁琐,因此就不找PspExitThread的地址,直接用DKOM的方式修改掉ETHREAD->CrossThreadFlags的值为0x10,结束线程就用PsTerminateSystemThread大法。
本文用到的Hook模块,摘自Tesla.Angela的教程。此外还要废掉PG才能运行。
由于DKOM是要用到硬编码的,所以本文的代码只适合在Windows 7 x64下使用。
p.s:本文的附件描述,摘自Hovi.Delphic的帖子。 开始玩X64了,点个赞! Tesla.Angela 发表于 2015-8-3 08:35
开始玩X64了,点个赞!
我感觉我自己搞点东西貌似离不开钩子的样子。。。 支持 一下 我正好在找资料 全部在这里有了 感谢楼主分享,过PG才能运行,就好纠结~ 正在研究结束线程,感谢大大分享
页:
[1]