• 1345阅读
  • 1回复

线程回调可以防远程线程么? [复制链接]

上一主题 下一主题
离线啊冲
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2016-02-03
就是这个回调: PsSetCreateThreadNotifyRoutine

我想在这个回调里面判断是不是远程线程,是的话,就结束这个线程

现在已经能判断是不是远程线程了,但是没法结束这个线程:ZwOpenThread返回0xC000000D, 说是无效参数。。。  但是我用其他的线程ID, 就可以正常打开。唯独打不开这个新创建的“线程”。

PsLookupThreadByThreadId  也不行。。。。。(据说这个在WIN7下可以在线程回调中用,但是我得考虑XP啊)

求解啊,可有其他办法干掉这个线程?

请勿在WindowsXP下配套使用PsSetCreateThreadNotifyRoutine和ZwOpenThread,因为操作系统有bug.


你没看错,是操作系统的bug~







引用:最初由 何健hj发布 "源进程"和"目的进程" 不同,线程数>1是什么线程
"源进程"和"目的进程" 相同,线程数>1是什么线程"源进程"和"目的进程" 不同,线程数>1,是CreateRemoteThread产生的线程 (一般认为是"注入")
"源进程"和"目的进程" 相同,线程数>1,是线程自身CreateThread(一般认为是正常)

"源进程"和"目的进程" 不同,线程数=1,是进程刚启动时候的"主线程"


至少XP下测试是这样


  
善者 慈悲心常在 无怨无恨 以苦为乐
默认压缩密码www.hifyl.com
文件分享密码问题:http://www.hifyl.com/read-htm-tid-4444.html
离线v2680267313

只看该作者 沙发  发表于: 2016-04-30
用户被禁言,该主题自动屏蔽!
快速回复
限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
上一个 下一个