Zitat von
NicoDE:
Zitat von
peanut:
Wie komme ich an kernel32!BaseThreadStart, wenn ich den Thread nicht selbst erzeugt habe.
Wozu brauchst du die Adresse eines internen Wrappers?
Ich habe mich dumm ausgedrückt, ich wollte eigentlich an den ThreadContext um so vielleicht an die Adresse des Threads zu kommen - über ebp-Register? Das sollte ich mir aber lieber aus dem Kopf schlagen...
Zitat von
NicoDE:
Zitat von
peanut:
Ich denke da vor allem an CreateRemoteThread()! In meiner Anwendung soll dies möglichst frühzeitig erkannt werden.
Schreibe eine
DLL und reagiere auf neue Threads.
Wie kann ich in einer
DLL erkennen ob ein Thread in der Anwendung erzeugt wird? Ich bekomme dort doch nur Nachrichten mit, die die
DLL betreffen oder kann man dort auch erfahren, wo ein neuer Thread im Speicher liegt?
Zitat von
NicoDE:
Zitat von
peanut:
Dummerweise funktioniert CreateRemoteThread auch in Gast-Zugängen auf allen Prozessen, die mit diesen Rechten laufen.
Kann man das irgendwie unterbinden
Ändere die Sicherheitsbeschreibung deines Prozesses.
Wie kann man die Sicherheitsbeschreibung ändern?