看到一篇文章，为方便转过来

作者：kruglinski(kruglinski_at_sohu_dot_com)
出处：05bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6C8M7Y4g2Y4L8r3W2F1M7$3E0A6
时间：2007.06.29

在驱动中可能需要线程上下文才能做一些操作，在不少地方可以得到进线程上下文，下面总结一下我所知道和常用的，如果有漏掉的，请朋友们回帖加上。

方法1:PsSetCreateThreadNotifyRoutine,PslookupThread(Process)ByXXX,可能会被杀

方法2:IP Firewall Hook,进来时都是进行网络通讯的进程上下文,2k,xp,2k3有效,vista不知道

方法3:SSDT Hook通用

方法4:NtQuerySystemInformation,SystemProcessInformation,有时得不到登录用户创建的进/线程列表?

方法5:Dispatch Hook,通用,道理与SSDT Hook相似

方法6:Filter Driver,通用

方法7:Hook PsConvertToGuiThread,到现在为止,我只见过自己用过这个方法,可以有效的得到Ring3用户进程上下文,而且不用像Dispatch Hook那样进来的太频繁

------------------分割线-------------------

上面只说了大致方法，请人指导具体实现的方法，望不吝指教，最好给出代码。谢谢！

[培训]科锐逆向工程师培训第53期2025年7月8日开班！