[求助]ZwQuerySystemInformation使用5号功能查询出来的线程起始地址不是真的？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 2 楼正常啊，你用的应该是win7系统，我win7 x64上查出来的线程入口都是 ntdll!RtlUserThreadStart，而pc_hunter显示的是真正的线程入口。 xp用ZwQueryInformationThread就是真正的入口。。。 2013-10-21 09:29 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 3 楼你查出来的是ThreadStart函数的地址.WIN7的一个坑(楼上说的比较清楚) 2013-10-21 09:42 0
veneryz 雪币： 206 活跃值： (117) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	veneryz 4 楼原来是这样.谢谢分享! 2013-10-21 11:46 0
dancebaby 雪币： 48 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 93 粉丝 0 关注私信	dancebaby 5 楼学习了，但是很不幸我是XP SP3 虚拟机，估计也是RtlUserThreadStart的地址吧。那下面的问题是XP用ZwQueryInformationThread为什么有的进程查询出来的地址是0，有的进程可以正确查到。。不知道XT是如何实现，感觉是R0搞定的？ 2013-10-21 13:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 2 楼正常啊，你用的应该是win7系统，我win7 x64上查出来的线程入口都是 ntdll!RtlUserThreadStart，而pc_hunter显示的是真正的线程入口。 xp用ZwQueryInformationThread就是真正的入口。。。 2013-10-21 09:29 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 3 楼你查出来的是ThreadStart函数的地址.WIN7的一个坑(楼上说的比较清楚) 2013-10-21 09:42 0
veneryz 雪币： 206 活跃值： (117) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	veneryz 4 楼原来是这样.谢谢分享! 2013-10-21 11:46 0
dancebaby 雪币： 48 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 93 粉丝 0 关注私信	dancebaby 5 楼学习了，但是很不幸我是XP SP3 虚拟机，估计也是RtlUserThreadStart的地址吧。那下面的问题是XP用ZwQueryInformationThread为什么有的进程查询出来的地址是0，有的进程可以正确查到。。不知道XT是如何实现，感觉是R0搞定的？ 2013-10-21 13:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复