好思路！！！！学习！！

想问下是怎么判断循环中遇到的线程就是从StartRoutine开始执行的那个线程？

呵呵 写suspend做法的基本都是抄看雪腾讯比赛的吧

这题本来是不允许SUSPEND线程的，只是为了降低难度，所以去掉了这个限制
你找线程的那个方法是非常不通用的 ，不是很好

那么现在已知的答案有四种：
1.suspend法
2.vol key法
3.直接HIVE法
4.hive替换法

目前选手做出来的只有前三种

我没准备回复

偶也想过suspendthread法

郁闷！！我的suspend方法怎么失败了呢？早知道通讯比赛里面有这个方法我也去看一下咯。 我只会hive方法，以为hive方法评委不推荐用，导致这题居然没做！悔不该当初。。。

我第一反应就是用Suspend法,不过我真不知道那个看雪什么比赛上用过~~~

[QUOTE=;]...[/QUOTE]
楼主很好很强大啊

suspend法没什么。只是做成地址低16位比较就比较XX TX了~

王姐姐 你太牛啦

pSystemProc = (PSYSTEM_PROCESSES)lpSystemInfo;
        while(pSystemProc->NextEntryDelta != 0)
        {
                 if(pSystemProc->ProcessId == dwPID)  //为什么不用NtQuerySystemInformation 里获得的 ProcessName 比较是不是"System"进程.

而是用 CreateToolhelp32Snapshot 便利进程获得"SYSTEM"进程ID，然后
用NtQuerySystemInformation获得的信息链表再与 CreateToolhelp32Snapshot获得的进程ID比较呢呢。

NtQuerySystemInformation 难倒这个的功能不够强大一定要CreateToolhelp32Snapshot一起辅助。
小鸟，我认为NtQuerySystemInformation 足够了啊。看不懂，请大师指点。睡不着啊，在线等。

好不容易编译通过啊。下载最新sdk  + ntdll.h + ntdll.lib
(http://bbs.pediy.com/attachment.php?attachmentid=17289&d=1219225831)

代码有一处明显错误，导致编译不过。调用这个函数NtQuerySystemInformation的两个地方
，全部要改成pfNtQuerySystemInformation

-------------------------------------------------------------------------------
调试到半夜，发现 ScanProcess  函数用 CreateToolhelp32Snapshot 去获得"SYSTEM"的进程ID是多余的。
ScanProcess 这函数可以不要 。
SpeciProcess 这个函数就可以它的所有的事情。只要在SpeciProcess函数
        while(pSystemProc->NextEntryDelta != 0)
        {
               

                if(pSystemProc->ProcessId == dwPID)   //  只要在这里加进程名判断就可以。但搞不懂楼主意图。
                {                                                             //或者有什么深层的意思是我不懂的。请教论坛的高手，我也学习下。

                        for(ulIndex = 0; ulIndex < pSystemProc->ThreadCount; ulIndex++)
                        {

NtQuerySystemInformation是在NTDLL.H中直接申明的，否则应采用pfNtQuerySystemInformation来调用。

后面的可以简化。

请问 楼主 ：
如何才能发现这个线程呢 用工具 还是  什么东西  ？？？

应该是ida

ProcessExplorer就能看到该线程