关于PsCreateSystemThread函数

元始天尊

研究了1天这个。。。MSDN说的不是很清楚
NTSTATUS PsCreateSystemThread(
  _Out_      PHANDLE ThreadHandle,
  _In_       ULONG DesiredAccess,
  _In_opt_   POBJECT_ATTRIBUTES ObjectAttributes,
  _In_opt_   HANDLE ProcessHandle,
  _Out_opt_  PCLIENT_ID ClientId,
  _In_       PKSTART_ROUTINE StartRoutine,
  _In_opt_   PVOID StartContext
);

该函数用于创建系统线程，ProcessHandle参数接收NULL,     NtCurrentProcess() (-1)   ,或指定进程句柄 三种情况  都可以用PsTerminateSystemThread结束掉
示例：

1. 
   
2. VOID MyThread(PVOID StartContext)
   
3. {
   
4.         PEPROCESS pp=IoGetCurrentProcess();
   
5.         NTSTATUS status=PsTerminateSystemThread(0);
   
6. //以下实际上已经不执行了
   
7.         if(status == STATUS_INVALID_PARAMETER)
   
8.         {
   
9.                 KdPrint(("not systemthread"));
   
10.         }
    
11. }
    
12. 
    
13. HANDLE OpenProcess(HANDLE  Processid)
    
14. {
    
15.         NTSTATUS status;
    
16.         PEPROCESS Process = NULL;
    
17.         HANDLE hProcess = NULL;
    
18.         UNICODE_STRING Unicode;
    
19.         status = PsLookupProcessByProcessId(Processid, &Process);
    
20.         if (NT_SUCCESS(status))//判断进程号是否存在
    
21.         {
    
22.                 RtlInitUnicodeString(&Unicode, L"PsProcessType");
    
23.                 //得到系统导出函数的地址和用户态的GetProcessAddress雷同
    
24.                 PsProcessType = (POBJECT_TYPE*)MmGetSystemRoutineAddress(&Unicode);
    
25.                 if (PsProcessType)
    
26.                 {
    
27.                         status = ObOpenObjectByPointer(Process,0,NULL,PROCESS_ALL_ACCESS,(POBJECT_TYPE) * PsProcessType,
    
28.                                 KernelMode,&hProcess);
    
29.                         if (NT_SUCCESS(status))
    
30.                         {
    
31.                                 //减少指针计数
    
32.                                 ObfDereferenceObject(Process);
    
33.                                 return hProcess;
    
34.                         }
    
35.                 }
    
36.                 ObfDereferenceObject(Process);
    
37.         }
    
38.         return 0;
    
39. }
    
40. 
    
41. HANDLE outthread1,,outthread2,outthread3,outthread4,hproc;
    
42. 
    
43. PsCreateSystemThread(&outthread1,THREAD_ALL_ACCESS,NULL,NULL,NULL,MyThread,NULL);
    
44. PsCreateSystemThread(&outthread2,THREAD_ALL_ACCESS,NULL,NtCurrentProcess(),NULL,MyThread,NULL);
    
45. 
    
46. OBJECT_ATTRIBUTES oa;
    
47. CLIENT_ID ci={(HANDLE)1472,0};//注意是进程ID！
    
48. RtlZeroMemory(&oa,sizeof(oa));
    
49. oa.Length=sizeof(oa);
    
50. ZwOpenProcess(&hproc,PROCESS_ALL_ACCESS,&oa,&ci);
    
51. PsCreateSystemThread(&outthread3,THREAD_ALL_ACCESS,NULL,hproc,NULL,MyThread,NULL);
    
52. 
    
53. hproc=OpenProcess((HANDLE)1472);//注意是进程ID！
    
54. PsCreateSystemThread(&outthread4,THREAD_ALL_ACCESS,NULL,hproc,NULL,MyThread,NULL);

复制代码

该函数创建的线程，其PETHRAD属性的CrossThreadFlags有PS_CROSS_THREAD_FLAGS_SYSTEM属性，不允许以挂起模式创建线程，，其他和普通的NtCreateThread差别不大！
然而在微软官方源码中，PS_CROSS_THREAD_FLAGS_SYSTEM属性即为SystemThread，尽管其所属进程可能是explorer.exe