最新回复 (6)
Thead 雪币： 407 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 2 楼这个问题我也遇到过。不过我当时是用符号获取的PsGetNextProcessThread地址，但是只要调用就爆炸了。后来乖乖的用ZwGetNextThread 2018-8-6 08:51 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 3 楼你确定32位下这玩意是STDCALL?在32位ntos里很多非导出函数会被优化成rax传参、rsi传参之类的奇葩东西 2018-8-6 09:42 0
syser 雪币： 3586 活跃值： (4729) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 4 楼 hzqst 你确定32位下这玩意是STDCALL?在32位ntos里很多非导出函数会被优化成rax传参、rsi传参之类的奇葩东西导出就不会了没导出就会存在优化建议写个包装 2018-8-6 16:59 0
余fish 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	余fish 5 楼 hzqst 你确定32位下这玩意是STDCALL?在32位ntos里很多非导出函数会被优化成rax传参、rsi传参之类的奇葩东西多谢大神指点，问题解决了 2018-8-7 11:48 0
余fish 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	余fish 6 楼 hzqst 你确定32位下这玩意是STDCALL?在32位ntos里很多非导出函数会被优化成rax传参、rsi传参之类的奇葩东西我发现PsResumeProcess调用PsGetNextProcessThread第一个参数是eax传参，第二个参数竟然是用ebx，然后返回的线程PETHREAD也在ebx里。 NTSTATUS MyEnumProcessPGNPT(PEPROCESS Process) { NTSTATUS Status = STATUS_SUCCESS; __asm { mov ebx, 0 jmp Loop Work: mov eax, ebx push eax call MySolveThread mov[Status], eax push ebx Loop: mov eax, [Process] call PsGetNextProcessThread mov ebx, eax test ebx, ebx jnz short Work } return Status; } NTSTATUS MySolveThread(PETHREAD Thread) { //... } 这个只适用于win7 32位，其他系统可能需要修改 2018-8-7 12:14 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 7 楼为啥不试试标准方法枚举线程 2018-8-9 21:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助] PsGetNextProcessThread 无法调用