创建系统线程

创建线程非常简单,使用的函数叫PsCreateSystemThread 

  1. PsCreateSystemThread(
  2.     _Out_ PHANDLE ThreadHandle,
  3.     _In_ ULONG DesiredAccess,
  4.     _In_opt_ POBJECT_ATTRIBUTES ObjectAttributes,
  5.     _In_opt_  HANDLE ProcessHandle,
  6.     _Out_opt_ PCLIENT_ID ClientId,
  7.     _In_ PKSTART_ROUTINE StartRoutine,
  8.     _In_opt_ _When_(return >= 0, __drv_aliasesMem) PVOID StartContext
  9.     );

有7个参数:

  • 第一个是线程handle
  • 第二个是access ,一般设置为0
  • 最后两个参数是要运行的函数地址和传入参数
  1. #include <ntddk.h>
  5. VOID Unload(IN PDRIVER_OBJECT DriverObject) {
  7.     DbgPrint("driver unload\r\n");
  9. }
  11. VOID MyProc(IN PVOID Context) {
  12.     DbgPrint("new thread is runing");
  13.     PsTerminateSystemThread(STATUS_SUCCESS);
  15.     //此函数会终止线程,我们只需要传入STATUS_SUCCESS
  17. }
  19. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegisteryPath) {
  20.     DriverObject->DriverUnload = Unload;
  21.     HANDLE ThreadHandle = NULL;
  22.     NTSTATUS status;
  23.     status = PsCreateSystemThread(&ThreadHandle,0,NULL,NULL,NULL,MyProc,NULL);
  24.     //myproc 运行在PASSIVE_LEVEL,所以我们可以做任何事
  25.     //虽然我们的线程是自行终止的,但是如果你了解windows
  26.     //线程终止只是插入一个apc 并使其自行终止
  27.     //我们需要在
  29.     //是否创建失败
  30.     if (!NT_SUCCESS(status))
  31.     {
  32.         DbgPrint("thread create fault\r\n");
  34.     }
  35.     //关闭线程handle
  36.     ZwClose(ThreadHandle);
  37.     return STATUS_SUCCESS;
  38. }

线程同步

KeInitializeEvent(); 有3个参数:

  • 事件本身
  • 事件类型
  • 初始状态