[求助]如何获取线程的起始地址信息？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 2 楼 r0 or r3? in r0 you can access (struct)ETHREAD.StartAddress. 2007-8-13 01:02 0
help 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	help 3 楼帮顶一下，期待高手回答 2007-8-13 01:32 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 4 楼看看dbghelp里面，process explorer使用的这个里面的一些结构如MINIDUMP_THREAD等应该有用，我没有细看进去 2007-8-13 11:06 0
wuxb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	wuxb 5 楼我不懂……有人说context的eip就是，但是不是。 2007-8-13 19:58 0
wuxb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	wuxb 6 楼如何编写ring0程序呢，难道要驱动不成？？？ 2007-8-13 19:59 0
wuxb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	wuxb 7 楼 4楼的兄弟，那个结构只有定义，但是用什么函数呢？ 2007-8-13 20:05 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 8 楼写一个简单的驱动 2007-8-13 20:14 0
wuxb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	wuxb 9 楼不会写驱动……能不能指点一下？谢谢了！ 2007-8-13 20:15 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼直接用EasySYS生成一个用ObReferenceObjectByHandle把hThread转换成PETHREAD，然后读ETHREAD.StartAddress(恐怕得硬编码StartAddress在ETHREAD结构中的偏移，因为ETHREAD结构在ntddk.h中没有)。网上入门教程很多 2007-8-13 20:32 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 11 楼 ZwQueryInformationThread(hThread, 9, ...) 2007-8-13 20:34 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 12 楼汗。。没仔细看ntpsapi.h 是偶菜了>.< typedef enum _THREADINFOCLASS { ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriority, ThreadAffinityMask, ThreadImpersonationToken, ThreadDescriptorTableEntry, ThreadEnableAlignmentFaultFixup, ThreadEventPair_Reusable, ThreadQuerySetWin32StartAddress, ThreadZeroTlsCell, ThreadPerformanceCount, ThreadAmILastThread, ThreadIdealProcessor, ThreadPriorityBoost, ThreadSetTlsArrayAddress, ThreadIsIoPending, ThreadHideFromDebugger, ThreadBreakOnTermination, ThreadSwitchLegacyState, ThreadIsTerminated, MaxThreadInfoClass } THREADINFOCLASS; // end_ntddk end_ntifs 就如#11所说直接用ZwQueryInformationThread的9号调用 2007-8-13 20:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 2 楼 r0 or r3? in r0 you can access (struct)ETHREAD.StartAddress. 2007-8-13 01:02 0
help 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	help 3 楼帮顶一下，期待高手回答 2007-8-13 01:32 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 4 楼看看dbghelp里面，process explorer使用的这个里面的一些结构如MINIDUMP_THREAD等应该有用，我没有细看进去 2007-8-13 11:06 0
wuxb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	wuxb 5 楼我不懂……有人说context的eip就是，但是不是。 2007-8-13 19:58 0
wuxb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	wuxb 6 楼如何编写ring0程序呢，难道要驱动不成？？？ 2007-8-13 19:59 0
wuxb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	wuxb 7 楼 4楼的兄弟，那个结构只有定义，但是用什么函数呢？ 2007-8-13 20:05 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 8 楼写一个简单的驱动 2007-8-13 20:14 0
wuxb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	wuxb 9 楼不会写驱动……能不能指点一下？谢谢了！ 2007-8-13 20:15 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼直接用EasySYS生成一个用ObReferenceObjectByHandle把hThread转换成PETHREAD，然后读ETHREAD.StartAddress(恐怕得硬编码StartAddress在ETHREAD结构中的偏移，因为ETHREAD结构在ntddk.h中没有)。网上入门教程很多 2007-8-13 20:32 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 11 楼 ZwQueryInformationThread(hThread, 9, ...) 2007-8-13 20:34 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 12 楼汗。。没仔细看ntpsapi.h 是偶菜了>.< typedef enum _THREADINFOCLASS { ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriority, ThreadAffinityMask, ThreadImpersonationToken, ThreadDescriptorTableEntry, ThreadEnableAlignmentFaultFixup, ThreadEventPair_Reusable, ThreadQuerySetWin32StartAddress, ThreadZeroTlsCell, ThreadPerformanceCount, ThreadAmILastThread, ThreadIdealProcessor, ThreadPriorityBoost, ThreadSetTlsArrayAddress, ThreadIsIoPending, ThreadHideFromDebugger, ThreadBreakOnTermination, ThreadSwitchLegacyState, ThreadIsTerminated, MaxThreadInfoClass } THREADINFOCLASS; // end_ntddk end_ntifs 就如#11所说直接用ZwQueryInformationThread的9号调用 2007-8-13 20:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复