首页
论坛
课程
招聘
[讨论]KiAttachProcess挂靠线程的一些疑问
2021-9-27 17:47 6523

[讨论]KiAttachProcess挂靠线程的一些疑问

2021-9-27 17:47
6523

在Windows内核情景分析一文中 有原文

段落引用 KTHREAD结构成分中ApcState内部的指针Process就指向当前进程的EPROCESS结构.KTHREAD结构中本来就有个指针也叫做Process,这是个KPROCESS指针,那么为什么要用ApcState内部的指针Process呢?这是因为考虑到进程挂靠.

 

这段是不是可以认为在内核中使用KiAttachProcess挂靠到某进程时
ApcState内部的Process会被更改为挂靠到进程的EPROCESS 而ETHREAD的Process指针还是指向原来的Process呢? 如果这样的话是不是可以通过这样的方式去检测别人搞自己


看雪2022 KCTF 秋季赛 防守篇规则,征题截止日期11月12日!(iPhone 14等你拿!)

收藏
点赞0
打赏
分享
最新回复 (5)
雪    币: 2040
活跃值: 活跃值 (343)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
不吃麻婆豆腐 活跃值 2021-9-27 18:00
2
0
是的 插APC检测
雪    币: 25
活跃值: 活跃值 (336)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fdgs 活跃值 2021-9-27 18:13
3
0
不吃麻婆豆腐 是的 插APC检测
原来如此  多谢
雪    币: 139
活跃值: 活跃值 (2738)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
ookkaa 活跃值 2021-9-27 20:39
4
0
检测CR3,类似检测挂靠的方法只有挂靠的中间线程切换了才检测的到
雪    币: 15
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_fqplqeti 活跃值 2021-11-1 15:00
5
0
apc插入,可以自己实现插入,并且不用改kthread里面的值
雪    币: 3513
活跃值: 活跃值 (1694)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
木志本柯 活跃值 2021-11-1 16:55
6
0
插apc到目标进程去读写
游客
登录 | 注册 方可回帖
返回