NTAPI枚举指定进程中指定模块创建的线程

最新推荐文章于 2026-06-18 08:10:28 发布
原创 最新推荐文章于 2026-06-18 08:10:28 发布 · 3.5w 阅读 · 1
标签
#c++
本文介绍了一种通过NTAPI来枚举指定进程中由特定模块创建的线程的方法,涉及到线程和模块地址的关系判断,以及在不同环境下的线程起始地址获取。代码示例中,首先调用NtQuerySystemInformation获取系统进程信息,然后遍历找到目标进程及其线程,最后使用KiOpenThread和NtQueryInformationThread等函数判断线程是否在模块范围内。
代码示例了如何使用API枚举指定进程中指定模块创建的线程, 注意该方案存在一定局限性, 就是模块的起始地址和线程起始地址之间的关系无法保证, 可能存在漏掉的. 

static HANDLE KiOpenThread(ACCESS_MASK dwDesiredAccess, BOOL bInheritHandle, HANDLE dwThreadId)
{
	OBJECT_ATTRIBUTES ObjectAttributes;
	InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, NULL);
	if (bInheritHandle)
		ObjectAttributes.Attributes = OBJ_INHERIT;

	CLIENT_ID ClientId;
	ClientId.UniqueProcess = NULL;
	ClientId.UniqueThread  = dwThreadId;

	HANDLE hThread = NULL;
	NtOpenThread(&hThread, dwDesiredAccess, &ObjectAttributes, &ClientId);
	return hThread;
}

//-------------------------------------------------------------------------

/// <summary>
/// NTAPI枚举指定进程中指定模块创建的线程
/// </summary>
/// <param name="HANDLE dwProcessId"></param>
/// <param name="LPBYTE lpStart">模块开始地址, 可用 GetModuleInformation 等取得</param>
/// <param name="LPBYTE lpEnd">模块结束地址</param>
/
最低0.47元/天 解锁文章
OpenThread种种
Sting的专栏 - Under the hood
08-28 9310
我在Windows NT系统(包括2K和XP)和Windows CE系统各写有一个工具,专门用来研究系统的运行时状态,比如进程线程的各种信息,哪些DLL被哪些进程加载了,等等。如果某天突然想到一些好玩的东西,我也会把它加到工具里,比如,下图的这个,在系统登陆、锁定界面上运行了一个计算器。一般情况下,我比较喜欢做的事是观察线程的Call Stack。这就要用到一个关键的API:OpenThread
Windows内核新手上路1——挂钩SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 1036
Windows内核新手上路1——挂钩SSDT          这个系列记录学习我学习windows内核的点点滴滴,高手请直接无视。          文章核心内容:挂钩SSDT中函数列NtOpenProcess,NtDuplicateObject,NtCreateThread,NtOpenThread,NtWriteVirtualMemory,过滤进程操作来保护目标进程空间。   SSD
过TP保护
09-18 3302
TP 是国内腾讯游戏一款比较流行的驱动级保护程序. 负责保护腾讯每款游戏不被修改破坏, 也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会例如OD与CE无法进行如以下操作: 无法附加进程, 无法打开进程, 游戏进程被隐藏无法在工具中查看到, 内存无法读取代码 内存修改后游戏掉线 无法双机进行调试 出现SX非法模块提示 ` 其实以上说的这么多限制 都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是黑色老大常说的APIHOOK这方面. 7%32E1F)%...
在NT系列操作系统里让自己“消失”
竹君子之家
09-10 1847
创建时间:2004-03-06文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)===================[ 在NT系列操作系统里让自己“消失”]==================                                               SoBeIt            作者:Holy_Father     
过 DNF TP 驱动保护(一)
weixin_34032827的博客
06-09 1853
文章目录:                   01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProcess 中的 Deep InLine Hook: 05. 干掉 NtOpenThread 中的 Deep InLine Hook: 06. 干掉 NtReadVirtualMemory 中的 InLine Hook: 0...
枚举进程模块
qq_41490873的博客
08-25 420
在winternl.h中定义了PEB 和TEB typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { PVOID Reserved1[2]; LIST_ENTRY InM
x64 PspCidTable 枚举进程/ 线程
liushujie1的博客
08-15 1019
x64 PspCidTable 枚举进程/ 线程![win10 测试效果图](https://img-blog.csdnimg.cn/2020081521295066.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpdXNodWppZTE=,size_16,color_FFFFFF,t_70#pic_cent...
驱动枚举进程
爱杀之爪的矩阵
03-14 2079
Driver.cpp // DriEnumProcess.cpp : Defines the entry point for the console application.//#include "Driver.h"#include "ntddk.h"#include #include "stdarg.h"#include "stdio.h"#include "ntddkbd.h"
C/C++ Windows API——枚举进程、结束进程及提升权限
热门推荐
司马懿的西山居
10-21 1万+
// EnumProcessDemo.cpp : 定义控制台应用程序的入口点。 //#include "stdafx.h" #include <Windows.h> #include <TlHelp32.h>//CreateToolhelp32Snapshot #include <Psapi.h>//EnumProcessesbool GetPrivileges() { // 取得当前进程
内核中对进程的操作
qq_41071646的博客
01-13 392
这里 也是参考了看雪论坛分享的 这里 我找不到那个分享的网址了  比较尴尬 什么时候找到了  把分享 教程的网址放出来 。。。  本来是看 windows黑客编程技术详解 这本书 看的很起劲 但是 发现  emmm 比较可惜    那个irp 发现也不是那么的神奇  于是 直接看 内核进程的操作了  就是简单的枚举pid #include &lt;ntddk.h&gt; #includ...
使用NtQuerySystemInformation遍历进程信息[详细篇]
weixin_42270114的博客
07-15 7750
使用NtQuerySystemInformation遍历进程信息[详细篇]
APIHOOK之在NT系列操作系统里让自己“消失”中2
sanshao27的专栏
05-18 1262
在NT系列操作系统里让自己“消失”中2007-03-31 09:04 =====[ 7.2 全局挂钩 ]=======================================     枚举进程通过前面提到的API函数NtQuerySystemInformation来完成。因为系统中还有一些内部na
进程遍历-NtQuerySystemInformation枚举
hide_in_darkness的博客
06-07 1215
​ 数组中下一项的开头是上一项的地址加上 NextEntryOffset 成员中的值。​ HandleCount 成员包含有问题的进程正在使用的句柄总数;​ PeakWorkingSetSize 成员包含进程的工作集的峰值大小(以 KB 为单位)​ BasePriority 成员包含进程的基优先级,即在关联进程创建线程的起始优先级。​ PeakVirtualSize 成员包含进程使用的虚拟内存的峰值大小(以字节为单位)​ VirtualSize 成员包含进程使用的虚拟内存的当前大小(以字节为单位)
操作系统[系统学习二]
weixin_40996518的博客
09-09 747
文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,
VAC进程句柄枚举技术深度解析:如何实现高效反作弊监控
最新发布
gitblog_00052的博客
06-18 287
# VAC进程句柄枚举技术深度解析:如何实现高效反作弊监控 **Valve Anti-Cheat(VAC)**作为Steam平台上最著名的反作弊系统之一,其核心技术之一就是**进程句柄枚举技术**。这种技术能够实时监控系统中所有进程的句柄信息,有效检测和阻止作弊软件的运行。本文将深入解析VAC如何通过进程句柄枚举实现精准的反作弊监控,帮助您理解这一关键的反作弊机制。 ## 🔍 什么是进程句柄
NtQuerySystemInformation来遍历显示进程
輚至消亡
12-19 4554
NtQuerySystemInformation属于未公开的函数,没有文档化,头文件中也不存在(winternl.h中有其及其部分数据结构的定义),该函数可以查询到非常大量的系统信息。这里来使用该函数来查询进程名和对应PID。 该代码摘自网络,我对其做了大量的修改,废弃掉了大部分不需要的内容并完善了程序, 其本来的用意是查询特定进程下的特定线程状态,我保留了原程序功能的核心代码仅将其注释掉。 #include <windows.h> #include <tchar.h> #in
WhoUseMe--枚举句柄查找文件占用
商少
03-17 1839
枚举句柄-查找谁占用了我们的文件 平时偶尔会遇见文件无法删除的情况,通常使用PE 或者 PH 来查找谁占用了我们的文件,然后有一天就想自己实现查询占用文件情况的功能。 占用文件或目录,就会打开文件或目录(加载的DLL 例外),然后我们的任务变成:枚举所有的句柄,如果不是自己进程的句柄,先DuplicateObject然后得到句柄类型(或者设置全局的类型数据,然后根据TypeIndex进行类型
C++ 获取进程信息
qq_38933606的博客
08-28 2771
通常对于一个正在执行的进程而言,我们会关注进程的内存/CPU占用,网络连接,启动参数,映像路径,线程,堆栈等信息。windows平台没有直接提供获取进程启动参数的接口,但是可以通过解析进程的PEB(进程环境块)地址,获取信息。:这个文件包含了有关进程状态的各种信息,如进程ID、父进程ID、运行状态、内存使用情况等。:这个文件包含了进程的内存映射信息,显示了进程所使用的内存地址范围及其对应的权限。:这是一个文件夹,包含了进程当前打开的文件描述符列表。:这是每个正在运行的进程都有一个对应的目录,其中。
SSDT HOOK拦截远线程创建(下)
jiangqin115的专栏
11-10 742
http://nokyo.blogbus.com/logs/37850401.html   第三部分:从进程句柄获取信息   在第二部分我们使用了一个前提:可以通过进程句柄得到PID等信息。       事实上这是可行的,这一部分我们就进行介绍。我这里使用的是炉子大虾的《API HOOK实现ring3的进程保护》一文中提到的方法。       炉子那篇文章里讲的很详细,这里只
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值