首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]NtSetInformationThread调用之后怎么过
发表于: 2018-8-20 16:20 7229

[求助]NtSetInformationThread调用之后怎么过

许瑞 活跃值
2018-8-20 16:20
7229
如果程序调用了这个API     那么下断就断不下来  
有什么好的办法可以下断  
采用的附加方式

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
yegu
雪    币: 3745
活跃值: (2739)
能力值: ( LV7,RANK:105 )
在线值:
发帖
回帖
粉丝
私信
2
可以hook这个NtSetInformationThread函数,修改它的行为,比如可以替换为其他函数或替换入参都可以。
2018-8-21 11:27
0
黑洛
雪    币: 6129
活跃值: (4966)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
3
你们跟网易有多大仇?
2018-9-7 03:01
0
黑洛
雪    币: 6129
活跃值: (4966)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
4
我来说一下楼主的情景:
环境:真机
只能采取附加的方式。
建议采取三个方案:
1.SSDTHOOK ZwSetInformationThread 不调用原函数直接返回STATUS_SUCEESS
2.劫持dll ,hook NtSetInformationThread然后操作如上。建议采用打印机驱动那个dll
3.伪调试
2018-9-7 03:12
0
wx_洛溪
雪    币: 33
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
5
黑洛 我来说一下楼主的情景: 环境:真机 只能采取附加的方式。 建议采取三个方案: 1.SSDTHOOK ZwSetInformationThread 不调用原函数直接返回STATUS_SUCEES ...
什么是伪调试
2020-7-7 18:30
0
chenjialei
雪    币: 3
活跃值: (2539)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
6
wx_洛溪 什么是伪调试
950K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5j5Y4S2A6j5h3!0U0K9#2)9J5k6h3u0S2K9$3I4A6j5W2)9J5k6h3y4G2L8g2)9J5c8V1q4F1N6r3W2p5k6h3u0#2k6#2)9J5c8U0p5J5j5$3p5`.
2020-7-7 19:04
0
ZwCopyAll
雪    币: 259
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
666
2020-7-8 05:49
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回