[求助]读取另一线程的TEB的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 2 楼 TEB信息是在0x7FFxxxxx的，所以有了地址就可以用ZwReadVirtualMemory读，获取TEB地址方法如下： ZwQueryInformationThread的0号调用（ThreadBasicInformation），返回类型为_THREAD_BASIC_INFORMATION，定义如下： typedef struct _THREAD_BASIC_INFORMATION { NTSTATUS ExitStatus; PTEB TebBaseAddress; CLIENT_ID ClientId; ULONG_PTR AffinityMask; KPRIORITY Priority; LONG BasePriority; } THREAD_BASIC_INFORMATION; 其中的TebBaseAddress就是TEB地址 ZwQueryInformationThread的ThreadHandle就是hThread了函数原型等： NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationThread ( __in HANDLE ThreadHandle, __in THREADINFOCLASS ThreadInformationClass, __out_bcount(ThreadInformationLength) PVOID ThreadInformation, __in ULONG ThreadInformationLength, __out_opt PULONG ReturnLength ); typedef enum _THREADINFOCLASS { ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriority, ThreadAffinityMask, ThreadImpersonationToken, ThreadDescriptorTableEntry, ThreadEnableAlignmentFaultFixup, ThreadEventPair_Reusable, ThreadQuerySetWin32StartAddress, ThreadZeroTlsCell, ThreadPerformanceCount, ThreadAmILastThread, ThreadIdealProcessor, ThreadPriorityBoost, ThreadSetTlsArrayAddress, ThreadIsIoPending, ThreadHideFromDebugger, ThreadBreakOnTermination, ThreadSwitchLegacyState, ThreadIsTerminated, MaxThreadInfoClass } THREADINFOCLASS; PVOID ThreadInformation是指向返回数据缓冲区的指针。给的都是nativeApi，如果要用win32api可以用ReadProcessMemory，至于ZwQueryInfoThread的话，偶也不知道什么win32api可以搞定~ nativeAPI用多了 -。- 2007-8-6 09:45 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 3 楼 ZwReadVirtualMemory & ZwQueryInformationThread位于ntdll.dll 2007-8-6 09:46 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 4 楼谢谢炉子兄弟了，我忘了还有NtQueryInformationThread存在哈。 2007-8-6 15:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 2 楼 TEB信息是在0x7FFxxxxx的，所以有了地址就可以用ZwReadVirtualMemory读，获取TEB地址方法如下： ZwQueryInformationThread的0号调用（ThreadBasicInformation），返回类型为_THREAD_BASIC_INFORMATION，定义如下： typedef struct _THREAD_BASIC_INFORMATION { NTSTATUS ExitStatus; PTEB TebBaseAddress; CLIENT_ID ClientId; ULONG_PTR AffinityMask; KPRIORITY Priority; LONG BasePriority; } THREAD_BASIC_INFORMATION; 其中的TebBaseAddress就是TEB地址 ZwQueryInformationThread的ThreadHandle就是hThread了函数原型等： NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationThread ( __in HANDLE ThreadHandle, __in THREADINFOCLASS ThreadInformationClass, __out_bcount(ThreadInformationLength) PVOID ThreadInformation, __in ULONG ThreadInformationLength, __out_opt PULONG ReturnLength ); typedef enum _THREADINFOCLASS { ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriority, ThreadAffinityMask, ThreadImpersonationToken, ThreadDescriptorTableEntry, ThreadEnableAlignmentFaultFixup, ThreadEventPair_Reusable, ThreadQuerySetWin32StartAddress, ThreadZeroTlsCell, ThreadPerformanceCount, ThreadAmILastThread, ThreadIdealProcessor, ThreadPriorityBoost, ThreadSetTlsArrayAddress, ThreadIsIoPending, ThreadHideFromDebugger, ThreadBreakOnTermination, ThreadSwitchLegacyState, ThreadIsTerminated, MaxThreadInfoClass } THREADINFOCLASS; PVOID ThreadInformation是指向返回数据缓冲区的指针。给的都是nativeApi，如果要用win32api可以用ReadProcessMemory，至于ZwQueryInfoThread的话，偶也不知道什么win32api可以搞定~ nativeAPI用多了 -。- 2007-8-6 09:45 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 3 楼 ZwReadVirtualMemory & ZwQueryInformationThread位于ntdll.dll 2007-8-6 09:46 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 4 楼谢谢炉子兄弟了，我忘了还有NtQueryInformationThread存在哈。 2007-8-6 15:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复