[讨论]Kernel Detective.exe 中枚举SYSTEM线程是怎么实现的?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
choday 雪币： 240 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 2 楼找到了，KTHREAD里面有一个链表结构，可以找到所有线程，而这个结构，可以从EPROCESS结构中得到但，有没有什么函数可以实现这一系列功能？直接从KTHREAD中取出信息来，不同的系统，偏移不一样，很麻烦，所以我想知道用什么函数可以实现这一功能/可以枚举出SYSTEM线程，还有就是，线程的入口点地址，是不是KTHREAD结构中的SListFaultAddress? 我没有相关文档，所以，无从下手， ....找到了，PsGetNextProcessThread这个函数可以实现，但这个函数没有导出，麻烦哟 2009-2-7 21:34 0
RedEye 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	RedEye 3 楼 Hi, You can use NtQuerySystemInformation - with InformationClass = SystemProcessAndThreadInformation - to enumerate every non-hidden processes and their own threads . But the returned thread structures will not contain the KTHREAD pointer, you can still get the KTHREAD pointer by invoking PsLookupThreadByThreadId with the thread Id . Of course i did NOT use this method in KernelDetective . cheers, --GM 2009-2-8 03:58 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 4 楼 wrk、windbg+pdb 就是最好的文档 2009-2-8 11:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
choday 雪币： 240 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 2 楼找到了，KTHREAD里面有一个链表结构，可以找到所有线程，而这个结构，可以从EPROCESS结构中得到但，有没有什么函数可以实现这一系列功能？直接从KTHREAD中取出信息来，不同的系统，偏移不一样，很麻烦，所以我想知道用什么函数可以实现这一功能/可以枚举出SYSTEM线程，还有就是，线程的入口点地址，是不是KTHREAD结构中的SListFaultAddress? 我没有相关文档，所以，无从下手， ....找到了，PsGetNextProcessThread这个函数可以实现，但这个函数没有导出，麻烦哟 2009-2-7 21:34 0
RedEye 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	RedEye 3 楼 Hi, You can use NtQuerySystemInformation - with InformationClass = SystemProcessAndThreadInformation - to enumerate every non-hidden processes and their own threads . But the returned thread structures will not contain the KTHREAD pointer, you can still get the KTHREAD pointer by invoking PsLookupThreadByThreadId with the thread Id . Of course i did NOT use this method in KernelDetective . cheers, --GM 2009-2-8 03:58 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 4 楼 wrk、windbg+pdb 就是最好的文档 2009-2-8 11:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复