将线程标识为“远程线程”

Question

我正在开发一个流程，该流程会分析另一个流程的功能。
它检查 CPU、内存使用、线程创建和死亡等。 不幸的是，我的计算机上安装了一个防病毒软件，它在我检查的进程中创建了一个远程线程。这个远程线程并不是进程的一部分，所以我想在检查进程时完全忽略这个线程。

有没有办法（在 C++ 中）允许我们将线程识别为“远程线程”？

Answer 1

如果你愿意去内核模式PsSetCreateThreadNotifyRoutine你可能会感兴趣。根据Uninformed，它是在'正在创建或终止线程'的进程的上下文中调用的。我也看到了这个建议elsewhere。

我开始测试它，它工作正常。 您应该注意，您会看到一些误报，因为 Windows（不出所料）自己会进行一些注入。 这实际上是因为在创建第一个线程时创建了它将在父进程的上下文中完成。简单地消除第一个线程创建，这给出了一个很好的指示。 编辑>

主要缺点（除了必须编写驱动程序）是您需要看到创建发生，因此您的流程需要首先启动。

另外，如前所述，涉及堆栈跟踪、加载的模块和所有好东西的启发式方法会发挥作用。

Answer 2

在内部，使用CreateThread 创建的线程和使用CreateRemoteThread 创建的线程之间没有区别。 （其中CreateThread基本上调用CreateRemoteThread并将GetCurrentProcess()作为目标进程传递。）如果要区分线程，则必须使用启发式。