ETHREAD

看看WINDOWS中结构

_ETHREAD-r  +0x000Tcb       :_KTHREAD   +0x000Header     :_DISPATCHER_HEADER     +0x000Type      :UChar
cosmoslife·2012-07-26 21:00

shadow ssdt

假设.有一个目标进程A..在驱动中首先获取其EPROCESS..然后用这个PsGetNextProcessThread取出其线程..然后取出ETHREAD...也等同于KTHREAD..
lionzl·2012-07-11 10:00

读书笔记_栈的创建过程

函数是windows内核中用于创建线程的一个重要的内部函数,无论是创建系统线程(PsCreateSystemThread)还是用户线程(NtCreateThread),都离不开这个函数,除了创建重要的ETHREAD
wodamazi·2011-11-08 17:00

利用改变进程线程的上下文注入其它进程

注意:ring3可以使用ZwGetContextThread和ZwSetContextThread,而ring0下却不可以,ring0下这两个函数总是调用失败的,不过可以通过_ETHREAD->KTHREADtcb
lwglucky·2010-07-14 11:20

利用改变进程线程的上下文注入其它进程

注意:ring3可以使用ZwGetContextThread和ZwSetContextThread,而ring0下却不可以,ring0下这两个函数总是调用失败的,不过可以通过_ETHREAD->KTHREADtcb
lwglucky·2010-07-14 11:20

PspCidTable综合概述

其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD
laokaddk·2010-06-24 20:26

PspCidTable综合概述

其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD
laokaddk·2010-06-24 20:26

windows 2003 几个未公开结构 EPROCESS ETHREAD

找到个eprocess,ethread也比什么都没有好WindowsServer2003KernelVersion3790(ServicePack1)UPFreex86compatibleProduct
qinlicang·2010-05-21 12:00

DKOM更改ETHREAD--进程防杀

DKOM更改ETHREAD--进程防杀关于进程防杀思路:1.保持现有进程防杀机制不变!的确,瑞星此时在防止Ring3下进程的防杀几乎没有缺憾!2.直接操作线程的ETHREAD结构的几个变量!
zyustc·2010-01-23 16:00

线程的数据结构

在系统级别上,Windows线程是由一个线程块执行体(ETHREAD)来表示的,如图6.7所示。
phunxm·2009-12-26 22:00

线程的数据结构

在系统级别上,Windows线程是由一个线程块执行体(ETHREAD)来表示的,如图6.7所示。
sabolasi·2009-12-26 22:00

三两行代码实现进程防杀,免驱动,IceSword,WSysCheck等无效.

它判断ETHREAD里面的CrossThreadFlags;的值,如果这个值等于PS_CROSS_THREAD_FLAGS_SYSTEM,即是一个系统线程,那么直接返回拒绝访问
KeSummer·2008-05-18 02:00
上一页 1 2 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他