[求助]如何获取线程入口-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 2 楼可能上面字太多，简化问题：已知线程id，如何获取线程入口地址 2009-5-29 16:07 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 3 楼同进程内，一般用fs:[0]回溯到0xFFFFFFFF时，在+18处就有线程入口地址了。但是，进程A查找进程B的线程入口地址，还真没试过。procexp上可以看到线程入口，但具体怎么实现就不知道喽。虽然进程A得到进程B的线程句柄，也可以通过GetThreadContext得到相关线程环境，但是不同进程间数据的读取显然不方便，特别是读fs:[0]，不知道能不能实现，嘿嘿，也没有做实验。我也就说说罢了。另，找到一篇也许有点用：http://www.cnblogs.com/singlerace/archive/2008/10/16/1311795.html 搜索啊搜索 2009-5-29 16:07 0
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 4 楼多谢楼上解说，帖子我看了，那个函数我没弄好既然获取入口地址麻烦，如果不获取入口地址，有什么其他的特征来识别要暂停的线程线程名？另外，用Dll注入进程后，来暂停该进程的线程，是不是识别简单些？ 2009-5-29 16:27 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 5 楼要获取入口地址，可以用Native API： NtQueryInformationThread，以ThreadQuerySetWin32StartAddress为参数。（参考sysinternals）另外，如果是2003以后版本的系统，应该有个GetThreadStartInformation函数可以用，参考： http://www.hszxcx.cn/WindowsAPI/FunctionView.aspx?id=35582581080375 2009-5-29 17:46 0
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 6 楼已经按加载顺序来识别了，谢谢2位热心的前辈新问题：暂停线程要线程句柄，百度搜了，说要OpenThread，我是用delphi的，OpenThread竟然不能用，超级郁闷，有没有懂Delphi的，教教怎么调用这个函数 2009-5-29 18:50 0
inioo 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 206 粉丝 0 关注私信	inioo 7 楼和语言无关吧？思路是一样的 2009-5-29 18:58 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 8 楼你要养成先问搜索引擎的习惯。 http://www.google.com/search?hl=en&client=firefox-a&rls=org.mozilla%3Azh-CN%3Aofficial&hs=mKE&q=delphi+openthread&btnG=Search&aq=f&oq=&aqi= 2009-5-30 10:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 2 楼可能上面字太多，简化问题：已知线程id，如何获取线程入口地址 2009-5-29 16:07 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 3 楼同进程内，一般用fs:[0]回溯到0xFFFFFFFF时，在+18处就有线程入口地址了。但是，进程A查找进程B的线程入口地址，还真没试过。procexp上可以看到线程入口，但具体怎么实现就不知道喽。虽然进程A得到进程B的线程句柄，也可以通过GetThreadContext得到相关线程环境，但是不同进程间数据的读取显然不方便，特别是读fs:[0]，不知道能不能实现，嘿嘿，也没有做实验。我也就说说罢了。另，找到一篇也许有点用：http://www.cnblogs.com/singlerace/archive/2008/10/16/1311795.html 搜索啊搜索 2009-5-29 16:07 0
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 4 楼多谢楼上解说，帖子我看了，那个函数我没弄好既然获取入口地址麻烦，如果不获取入口地址，有什么其他的特征来识别要暂停的线程线程名？另外，用Dll注入进程后，来暂停该进程的线程，是不是识别简单些？ 2009-5-29 16:27 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 5 楼要获取入口地址，可以用Native API： NtQueryInformationThread，以ThreadQuerySetWin32StartAddress为参数。（参考sysinternals）另外，如果是2003以后版本的系统，应该有个GetThreadStartInformation函数可以用，参考： http://www.hszxcx.cn/WindowsAPI/FunctionView.aspx?id=35582581080375 2009-5-29 17:46 0
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 6 楼已经按加载顺序来识别了，谢谢2位热心的前辈新问题：暂停线程要线程句柄，百度搜了，说要OpenThread，我是用delphi的，OpenThread竟然不能用，超级郁闷，有没有懂Delphi的，教教怎么调用这个函数 2009-5-29 18:50 0
inioo 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 206 粉丝 0 关注私信	inioo 7 楼和语言无关吧？思路是一样的 2009-5-29 18:58 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 8 楼你要养成先问搜索引擎的习惯。 http://www.google.com/search?hl=en&client=firefox-a&rls=org.mozilla%3Azh-CN%3Aofficial&hs=mKE&q=delphi+openthread&btnG=Search&aq=f&oq=&aqi= 2009-5-30 10:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复