摘要:
本篇blog的内核可能会杂乱无章,未成年禁止观看:)一。首先对于内核插32bit user apc的情况,内核有一个导出但undoucmented的函数来处理的,如下:nt!PsWrapApcWow64Thread:fffff800`0291b020 65488b042588010000 mov rax,qword ptr gs:[188h]fffff800`0291b029 488b4870 mov rcx,qword ptr [rax+70h]fffff800`0291b02d 4883b92003000000 cmp qword ptr [rcx+320... 阅读全文
摘要:
一.事由二.问题三.追踪溯源四.解决问题五.完**********************************************************************************************一. 事由最近有个需求是需要在32bit进程的某个线程A在调用createthread创建线程B的时候,如果线程B的起始地址符合指定的值则需要把该进程dump出来,由于指定的系统环境是windows 64位,不能HOOK,所以采用了PsSetCreateThreadNotifyRoutine的方式,在CreateThreadNotify得到调用时,判断创建的线程起 阅读全文