[求助]如何获取进程里某一线程当前执行的函数地址-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
Rookietp 雪币： 1047 活跃值： (671) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 800 粉丝 2 关注私信	Rookietp 2 楼 8a2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1I4P5s2g2W2z5s2S2#2k6e0S2Q4x3X3g2U0L8$3#2Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7#2y4e0y4Q4x3X3b7I4i4K6u0V1x3g2)9J5k6h3S2@1L8h3H3`. 2014-2-13 18:29 0
iceway 雪币： 19 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 3 楼 hook CreateThread行不我知道这样很蠢应该线程的信息有一个结构体保存起来的 2014-2-13 18:34 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 4 楼 GetThreadContext 2014-2-13 18:46 0
Naylon 雪币： 227 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 5 楼 SuspendThread、GetThreadContext Context.Eip是当前执行的指令地址要找函数起始地址的话，栈回溯一层，分析返回地址[ebp+4h]之上的一条call指令以上只针对一般情况 2014-2-13 19:56 0
RockyHuang 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	RockyHuang 6 楼 [QUOTE=Naylon;1260891]SuspendThread、GetThreadContext Context.Eip是当前执行的指令地址要找函数起始地址的话，栈回溯一层，分析返回地址[ebp+4h]之上的一条call指令以上只针对一般情况[/QUOTE] 谢谢！不过我对汇编不是很了解，怎么从当前执行指令的地址获得函数的起始地址，可以说得详细一点吗？或者帮我封装成个c接口，谢谢！ 2014-2-14 00:47 0
aiwuxian 雪币： 281 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 7 楼栈回溯，找返回地址，上一句指令里面有地址，call IAT的应该是FF15 XXXXXXXX call内部函数是E8 XXXXXXXX 具体自己玩吧~~~ 2014-2-14 02:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
Rookietp 雪币： 1047 活跃值： (671) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 800 粉丝 2 关注私信	Rookietp 2 楼 8a2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1I4P5s2g2W2z5s2S2#2k6e0S2Q4x3X3g2U0L8$3#2Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7#2y4e0y4Q4x3X3b7I4i4K6u0V1x3g2)9J5k6h3S2@1L8h3H3`. 2014-2-13 18:29 0
iceway 雪币： 19 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 3 楼 hook CreateThread行不我知道这样很蠢应该线程的信息有一个结构体保存起来的 2014-2-13 18:34 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 4 楼 GetThreadContext 2014-2-13 18:46 0
Naylon 雪币： 227 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 5 楼 SuspendThread、GetThreadContext Context.Eip是当前执行的指令地址要找函数起始地址的话，栈回溯一层，分析返回地址[ebp+4h]之上的一条call指令以上只针对一般情况 2014-2-13 19:56 0
RockyHuang 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	RockyHuang 6 楼 [QUOTE=Naylon;1260891]SuspendThread、GetThreadContext Context.Eip是当前执行的指令地址要找函数起始地址的话，栈回溯一层，分析返回地址[ebp+4h]之上的一条call指令以上只针对一般情况[/QUOTE] 谢谢！不过我对汇编不是很了解，怎么从当前执行指令的地址获得函数的起始地址，可以说得详细一点吗？或者帮我封装成个c接口，谢谢！ 2014-2-14 00:47 0
aiwuxian 雪币： 281 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 7 楼栈回溯，找返回地址，上一句指令里面有地址，call IAT的应该是FF15 XXXXXXXX call内部函数是E8 XXXXXXXX 具体自己玩吧~~~ 2014-2-14 02:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复