[求助]getThreadcontext获取EIP的问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]getThreadcontext获取EIP的问题 0.00雪花

发表于: 2012-1-9 12:15 1822

[旧帖] [求助]getThreadcontext获取EIP的问题 0.00雪花

foreverlov 活跃值

2012-1-9 12:15

1822

要用getthreatcontext需要先用suspendthread。
我写好了
BOOL a=SuspendThread(hThread);
if(a!=-1)
{
   context.ContextFlags=CONTEXT_CONTROL;
int re=GetThreadContext(hThread, &context);
   if(re!=0)
   {
printf(" eip is =%08x\n",context.Eip);
   }
   else
   {
            printf("error");
   }
ResumeThread(hThread);
}
每次获取的EIP都是0x77be6344
这里是KiFastSystemcallret的地址
开头就是RET

这是应该是suspend以后的EIP吧、、、我需要的是被暂停那一时刻的EIP
这样看那GetThreadContext不是始终无法获得暂停时刻的EIP了？？

不能用DEBUG软件、、主要是被THEMIDA加壳了

[课程]Android-CTF解题方法汇总！

收藏・0

免费・0

支持

最新回复 (2)
bitt 雪币： 435 活跃值： (1207) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 2 楼这个线程在你suspend的那一刻在内核里 2012-1-9 14:22 0
foreverlov 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 25 粉丝 0 关注私信	foreverlov 3 楼后来用XUETR去掉钩子，，加壳的也可以调试了。。谢了啊 2012-1-9 21:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

foreverlov

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
bitt 雪币： 435 活跃值： (1207) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 2 楼这个线程在你suspend的那一刻在内核里 2012-1-9 14:22 0
foreverlov 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 25 粉丝 0 关注私信	foreverlov 3 楼后来用XUETR去掉钩子，，加壳的也可以调试了。。谢了啊 2012-1-9 21:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复