要用getthreatcontext需要先用suspendthread。
我写好了
BOOL a=SuspendThread(hThread);
if(a!=-1)
{
                                                  context.ContextFlags=CONTEXT_CONTROL;
int re=GetThreadContext(hThread, &context);
     if(re!=0)
     {
                                                                printf(" eip is =%08x\n",context.Eip);
      }
      else
     {
              printf("error");
      }
                                                                ResumeThread(hThread);
}
每次获取的EIP都是0x77be6344
这里是KiFastSystemcallret的地址
开头就是RET

这是应该是suspend以后的EIP吧、、、我需要的是被暂停那一时刻的EIP
这样看那GetThreadContext不是始终无法获得暂停时刻的EIP了？？

不能用DEBUG软件、、主要是被THEMIDA加壳了

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！