微软防止钩子注入的后门函数RegisterSystemThread
来源:互联网 发布:春日局 知乎 编辑:程序博客网 时间:2024/05/20 23:07
>>微软后门函数 RegisterSystemThread
>>原形
VOID STDCALL RegisterSystemThread (DWORD flags, DWORD reserved)
>>等值定义
define RST_DONTJOURNALATTACH 0x00000002
define RST_DONTATTACHQUEUE 0x00000001 >>推测 查不出定义来!
;调用例子Windbg
if (bDisableJournaling) {
// Disable journaling
Rst = (RST)GetProcAddress( GetModuleHandle( "user32.dll" ), "RegisterSystemThread" );
if (Rst) {
(Rst) (RST_DONTJOURNALATTACH, 0);
}
}
>>作用:微软后门函数 用来阻止Hook入侵
>>相关函数
>>本函数没有导出 无法直接使用 是RegisterSystemThread的原型
VOID zzzRegisterSystemThread (DWORD dwFlags, DWORD dwReserved)
{
PTHREADINFO ptiCurrent;
UserAssert(dwReserved == 0);
if (dwReserved != 0)
return;
ptiCurrent = PtiCurrent();
if (dwFlags & RST_DONTATTACHQUEUE)
ptiCurrent->TIF_flags |= TIF_DONTATTACHQUEUE;
if (dwFlags & RST_DONTJOURNALATTACH) {
ptiCurrent->TIF_flags |= TIF_DONTJOURNALATTACH;
/*
* If we are already journaling, then this queue was already
* journal attached. We need to unattach and reattach journaling
* so that we are removed from the journal attached queues.
*/
if (FJOURNALPLAYBACK() || FJOURNALRECORD()) {
zzzJournalAttach(ptiCurrent, FALSE);
zzzJournalAttach(ptiCurrent, TRUE);
}
}
}
而实际上 RegisterSystemThread的系统服务接口是以下函数
VOID RegisterSystemThread(
DWORD dwFlags, DWORD dwReserved)
{
NtUserCallTwoParam(dwFlags, dwReserved, SFI_ZZZREGISTERSYSTEMTHREAD);
}
库为user32.dll 未导出 需要动态获取!
- 微软防止钩子注入的后门函数RegisterSystemThread
- 防止SQL注入的函数?
- 函数钩子-Dll注入
- 在用户态防止全局钩子注入
- 钩子,魔法值,系统的后门所在
- 防止SQL注入的函数(转)
- ASP.NET 防止SQL注入的函数
- 防止SQL注入的函数(转)
- discuz的php防止sql注入函数
- discuz的php防止sql注入函数
- php防止sql注入的自定义函数
- discuz的php防止sql注入函数
- 键盘钩子函数注入dll
- 防止sql注入函数
- 防止全局钩子的侵入
- 防止全局钩子的侵入
- 防止全局钩子的侵入
- 防止全局钩子的侵入
- 读编是这样编成的。
- Linux 指令大全
- Word中实现格式查找
- 摄影中的技巧
- 结束任务函数 Endtask function
- 微软防止钩子注入的后门函数RegisterSystemThread
- qq2005beta1/2/3 cs 协议 release 1
- 数据库设计经验谈(上)---- 选择自 softj 的 Blog
- 如何在MIDP中实现图片放缩
- J2EE到底是什么?
- 在linux下软件的安装和卸载
- 日本称已截获神六重要信息
- RMS从入门到精通
- FreeBSD 5.4中文安装手册,新手必看