[求助]大家好，请问知道线程的句柄或ID，如何获取线程的执行地址？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]大家好，请问知道线程的句柄或ID，如何获取线程的执行地址？

发表于: 2017-4-24 11:26 5269

[求助]大家好，请问知道线程的句柄或ID，如何获取线程的执行地址？

xushanfeng 活跃值

2017-4-24 11:26

5269

前辈们好。。。

线程是通过CreateThread创建的，创建的时候第三个参数是执行函数地址。

我现在想通过线程ID或者线程句柄，取得这个执行函数地址。请问怎么获取？

网络上的NtQueryInformationThread函数获得，但经过测试，我创建了n个线程，这个函数获取到这N个线程的“入口地址”都是一样的，而且没有一个对。

于是我感觉这个函数不可以获得线程执行地址，所以请问有没有办法获得？

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・1

免费・0

支持

最新回复 (17)
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 2 楼那你感觉下那个函数可以获取线程入口地址呗 2017-4-24 12:20 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 3 楼不知道才问，你的意思这个函数可以？那为什么获取出来的地址不一样呢？ 2017-4-24 12:26 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 4 楼，我做了个demo程序，创建了两个线程，PCHunter（xuntr）我用这个查看线程入口，这个工具上显示的线程入口地址，都是一样的地址，而且地址也是错的，所以这个软件的线程入口查看，也是用了NtQueryInformationThread这个函数。 2017-4-24 12:28 0
Thead 雪币： 407 活跃值： (1811) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 5 楼第二个参数传的是什么？ThreadQuerySetWin32StartAddress？ 2017-4-24 13:58 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 6 楼取到的才是真实起始地址你可以Hook相关函数flt一下取得线程函数起始地址 2017-4-24 14:30 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 7 楼 Thead 第二个参数传的是什么？ThreadQuerySetWin32StartAddress？是的，我做了个demo，创建多线程，每个线程调用函数不一样。用这个参数结果每个线程入口地址都不对，都是一样的。请问有其他方法吗 2017-4-25 13:37 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 8 楼空白即是正义取到的才是真实起始地址你可以Hook相关函数flt一下取得线程函数起始地址您好，我想通过线程句柄或线程或ID方式获得 2017-4-25 13:38 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 9 楼 xushanfeng 您好，我想通过线程句柄或线程或ID方式获得那就直接通过ethread结构得到吧得到的就是和xt显示一样的起始地址 2017-4-25 17:33 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 10 楼 ethread结构，不知道怎么获取我查查资料看看吧，谢谢你了 2017-4-26 11:15 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 11 楼 DWORD GetThreadStartAddr(DWORD dwThreadId) { HMODULE hNtdll = LoadLibrary(_T("ntdll.dll")); if (!hNtdll) { return 0; } NTQUERYINFORMATIONTHREAD NtQueryInformationThread = NULL; NtQueryInformationThread = (NTQUERYINFORMATIONTHREAD) GetProcAddress(hNtdll, "NtQueryInformationThread"); if (!NtQueryInformationThread) { return 0; } HANDLE ThreadHandle = NULL; ThreadHandle = OpenThread(THREAD_QUERY_INFORMATION, FALSE, dwThreadId); if (!ThreadHandle) { return 0; } DWORD dwStaAddr = NULL; DWORD dwReturnLength = 0; if (NtQueryInformationThread(ThreadHandle, ThreadQuerySetWin32StartAddress, &dwStaAddr, sizeof(dwStaAddr), &dwReturnLength)) { return 0; } return dwStaAddr; } 取得线程入口地址和xt的一模一样，送给楼主了 2017-4-26 13:25 0
封心aa 雪币：活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	封心aa 12 楼我也有同样问题。楼主怎么解决的 2017-4-26 19:40 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 13 楼 AperOdry DWORD  GetThreadStartAddr(DWORD dwThreadId) { HMODULE hNtdll& ... 您好，这个代码不行，xt获取到的入口地址也是错误的，就是因为用了这方式 2017-4-28 16:08 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 14 楼封心aa 我也有同样问题。楼主怎么解决的您好，我还没解决。。 2017-4-28 16:09 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 15 楼知道的大侠可以联系下我讨论下吗？我q 19619八3633，不会让你们白忙 2017-4-28 16:10 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 16 楼 xushanfeng 您好，这个代码不行，xt获取到的入口地址也是错误的，就是因为用了这方式入口地址的确有一样的。。 2017-4-28 22:17 0
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 17 楼 xushanfeng 知道的大侠可以联系下我讨论下吗？我q 19619八3633，不会让你们白忙用procexp就能看到了。 2017-4-29 00:31 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 18 楼谁告诉你CreateThread第三个参数的地址就是线程起始地址了真正的起始地址是ntdll里的RtlUserThreadStart，这玩意才是线程从用户层开始的地方。那玩意会call你的ThreadProc，所以你认为ThreadProc是起始地址，实际上这之前跑了很多东西你都没看到。 2017-5-1 11:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xushanfeng

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 2 楼那你感觉下那个函数可以获取线程入口地址呗 2017-4-24 12:20 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 3 楼不知道才问，你的意思这个函数可以？那为什么获取出来的地址不一样呢？ 2017-4-24 12:26 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 4 楼，我做了个demo程序，创建了两个线程，PCHunter（xuntr）我用这个查看线程入口，这个工具上显示的线程入口地址，都是一样的地址，而且地址也是错的，所以这个软件的线程入口查看，也是用了NtQueryInformationThread这个函数。 2017-4-24 12:28 0
Thead 雪币： 407 活跃值： (1811) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 5 楼第二个参数传的是什么？ThreadQuerySetWin32StartAddress？ 2017-4-24 13:58 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 6 楼取到的才是真实起始地址你可以Hook相关函数flt一下取得线程函数起始地址 2017-4-24 14:30 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 7 楼 Thead 第二个参数传的是什么？ThreadQuerySetWin32StartAddress？是的，我做了个demo，创建多线程，每个线程调用函数不一样。用这个参数结果每个线程入口地址都不对，都是一样的。请问有其他方法吗 2017-4-25 13:37 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 8 楼空白即是正义取到的才是真实起始地址你可以Hook相关函数flt一下取得线程函数起始地址您好，我想通过线程句柄或线程或ID方式获得 2017-4-25 13:38 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 9 楼 xushanfeng 您好，我想通过线程句柄或线程或ID方式获得那就直接通过ethread结构得到吧得到的就是和xt显示一样的起始地址 2017-4-25 17:33 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 10 楼 ethread结构，不知道怎么获取我查查资料看看吧，谢谢你了 2017-4-26 11:15 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 11 楼 DWORD GetThreadStartAddr(DWORD dwThreadId) { HMODULE hNtdll = LoadLibrary(_T("ntdll.dll")); if (!hNtdll) { return 0; } NTQUERYINFORMATIONTHREAD NtQueryInformationThread = NULL; NtQueryInformationThread = (NTQUERYINFORMATIONTHREAD) GetProcAddress(hNtdll, "NtQueryInformationThread"); if (!NtQueryInformationThread) { return 0; } HANDLE ThreadHandle = NULL; ThreadHandle = OpenThread(THREAD_QUERY_INFORMATION, FALSE, dwThreadId); if (!ThreadHandle) { return 0; } DWORD dwStaAddr = NULL; DWORD dwReturnLength = 0; if (NtQueryInformationThread(ThreadHandle, ThreadQuerySetWin32StartAddress, &dwStaAddr, sizeof(dwStaAddr), &dwReturnLength)) { return 0; } return dwStaAddr; } 取得线程入口地址和xt的一模一样，送给楼主了 2017-4-26 13:25 0
封心aa 雪币：活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	封心aa 12 楼我也有同样问题。楼主怎么解决的 2017-4-26 19:40 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 13 楼 AperOdry DWORD  GetThreadStartAddr(DWORD dwThreadId) { HMODULE hNtdll& ... 您好，这个代码不行，xt获取到的入口地址也是错误的，就是因为用了这方式 2017-4-28 16:08 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 14 楼封心aa 我也有同样问题。楼主怎么解决的您好，我还没解决。。 2017-4-28 16:09 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 15 楼知道的大侠可以联系下我讨论下吗？我q 19619八3633，不会让你们白忙 2017-4-28 16:10 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 16 楼 xushanfeng 您好，这个代码不行，xt获取到的入口地址也是错误的，就是因为用了这方式入口地址的确有一样的。。 2017-4-28 22:17 0
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 17 楼 xushanfeng 知道的大侠可以联系下我讨论下吗？我q 19619八3633，不会让你们白忙用procexp就能看到了。 2017-4-29 00:31 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 18 楼谁告诉你CreateThread第三个参数的地址就是线程起始地址了真正的起始地址是ntdll里的RtlUserThreadStart，这玩意才是线程从用户层开始的地方。那玩意会call你的ThreadProc，所以你认为ThreadProc是起始地址，实际上这之前跑了很多东西你都没看到。 2017-5-1 11:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复