[求助]TEB-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 2 楼同问，怎么搞。 2015-7-1 08:19 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 3 楼 ETHREAD结构里面有 2015-7-1 08:43 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 4 楼 ethread->ThreadListEntry用来遍历线程吧，然后kthread里面+0x088 就是Teb吧（WIN7），+0x150 就是EProcess的地址吧……应该是这么取的 2015-7-1 08:47 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 5 楼 int CBaseInfo::GetThreadTebAddr(THREAD_INFO &stcThreadInfo) { THREAD_BASIC_INFORMATION info = { 0 }; NTQUERYINFORMATIONTHREAD NtQueryInformationThread = NULL; NtQueryInformationThread = (NTQUERYINFORMATIONTHREAD) GetProcAddress(LoadLibrary(_T("ntdll.dll")), "ZwQueryInformationThread"); if (!NtQueryInformationThread) { return 0; } HANDLE ThreadHandle = NULL; ThreadHandle = OpenThread(THREAD_QUERY_INFORMATION, FALSE, (DWORD)stcThreadInfo.ClientId.UniqueThread); if (!ThreadHandle) { return 0; } DWORD dwReturnLength = 0; if (NtQueryInformationThread(ThreadHandle, ThreadBasicInformation, &info, sizeof(info), &dwReturnLength)) { return 0; } stcThreadInfo.Teb = info.TebBaseAddress; return 0; } 不知道是不是你说的~ 2015-7-1 10:05 0
轩辕之风雪币： 2291 活跃值： (933) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 6 楼如果只是想获取TEB地址，用CreateToolhelpSnapshot枚举指定进程的所有线程ID，然后按楼上这样依次读取TEB地址就可以了。 2015-7-1 10:46 0
layerfsd 雪币： 8188 活跃值： (2772) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 7 楼 pcas.exe，目测楼主要日了支付宝。 2015-7-1 14:03 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 8 楼谢了~ ~ 2015-7-3 22:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 2 楼同问，怎么搞。 2015-7-1 08:19 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 3 楼 ETHREAD结构里面有 2015-7-1 08:43 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 4 楼 ethread->ThreadListEntry用来遍历线程吧，然后kthread里面+0x088 就是Teb吧（WIN7），+0x150 就是EProcess的地址吧……应该是这么取的 2015-7-1 08:47 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 5 楼 int CBaseInfo::GetThreadTebAddr(THREAD_INFO &stcThreadInfo) { THREAD_BASIC_INFORMATION info = { 0 }; NTQUERYINFORMATIONTHREAD NtQueryInformationThread = NULL; NtQueryInformationThread = (NTQUERYINFORMATIONTHREAD) GetProcAddress(LoadLibrary(_T("ntdll.dll")), "ZwQueryInformationThread"); if (!NtQueryInformationThread) { return 0; } HANDLE ThreadHandle = NULL; ThreadHandle = OpenThread(THREAD_QUERY_INFORMATION, FALSE, (DWORD)stcThreadInfo.ClientId.UniqueThread); if (!ThreadHandle) { return 0; } DWORD dwReturnLength = 0; if (NtQueryInformationThread(ThreadHandle, ThreadBasicInformation, &info, sizeof(info), &dwReturnLength)) { return 0; } stcThreadInfo.Teb = info.TebBaseAddress; return 0; } 不知道是不是你说的~ 2015-7-1 10:05 0
轩辕之风雪币： 2291 活跃值： (933) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 6 楼如果只是想获取TEB地址，用CreateToolhelpSnapshot枚举指定进程的所有线程ID，然后按楼上这样依次读取TEB地址就可以了。 2015-7-1 10:46 0
layerfsd 雪币： 8188 活跃值： (2772) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 7 楼 pcas.exe，目测楼主要日了支付宝。 2015-7-1 14:03 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 8 楼谢了~ ~ 2015-7-3 22:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复