首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]ResumeThread求助
发表于: 2013-9-6 23:33 4895

[求助]ResumeThread求助

haodawei 活跃值
2013-9-6 23:33
4895
我ResumeThread一个线程,GetThreadContext获取eip,为什么都是在系统领空,而不是程序领空
代码附上
#include "stdafx.h"
#include <windows.h>
#include "Tlhelp32.h"
int main(int argc, char* argv[])
{
        DWORD thId=0;
        CONTEXT ct;
        ct.ContextFlags=CONTEXT_CONTROL;
        THREADENTRY32 th32;
        th32.dwSize=sizeof(THREADENTRY32);
        HANDLE h1=CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0);
        BOOL ret=Thread32First(h1,&th32);
        while(ret)
        {
                ret=Thread32Next(h1,&th32);
                printf("ProcessId:%d ",th32.th32OwnerProcessID);
                printf("ThreadId:%d\r\n",th32.th32ThreadID);
        }
        printf("请输入线程ID:\n");
        scanf("%d",&thId);
        printf("你输入的线程id是:%d\r\n",thId);
       
        HANDLE h2=OpenThread (THREAD_ALL_ACCESS,FALSE,thId);
        SuspendThread(h2);
        GetThreadContext(h2,&ct);//CONTEXT_FULL
        return 0;
}
eip如下:0x7c92e514

[课程]FART 脱壳王!加量不加价!FART作者讲授!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (3)
IamHuskar
雪    币: 1392
活跃值: (4867)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
私信
2
suspend以后,是停在系统空间的,eip为kernel32 的ret。resume后从这个 ret回到用户空间
2013-9-7 08:15
0
boainfall
雪    币: 116
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
那是不是可以通过esp得到要返回的用户空间地址,也就是知道suspend停在哪里了?
2013-9-7 09:20
0
haodawei
雪    币: 171
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
那么如何获取SuspendThread暂停的线程的eip啊??
2013-9-7 12:54
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//