[求助]如何获取线程入口-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 2 楼可能上面字太多，简化问题：已知线程id，如何获取线程入口地址 2009-5-29 16:07 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 3 楼同进程内，一般用fs:[0]回溯到0xFFFFFFFF时，在+18处就有线程入口地址了。但是，进程A查找进程B的线程入口地址，还真没试过。procexp上可以看到线程入口，但具体怎么实现就不知道喽。虽然进程A得到进程B的线程句柄，也可以通过GetThreadContext得到相关线程环境，但是不同进程间数据的读取显然不方便，特别是读fs:[0]，不知道能不能实现，嘿嘿，也没有做实验。我也就说说罢了。另，找到一篇也许有点用：8e3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1j5X3I4G2k6%4y4Q4x3X3g2U0L8$3#2Q4x3V1k6K6K9h3&6Y4L8r3g2J5j5h3y4W2i4K6u0r3j5i4u0U0K9r3W2$3k6g2)9J5c8U0t1H3x3o6S2Q4x3V1j5I4x3q4)9J5c8U0p5$3i4K6u0r3x3e0x3I4x3e0M7&6y4g2)9J5k6h3S2@1L8h3H3`. 搜索啊搜索 2009-5-29 16:07 0
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 4 楼多谢楼上解说，帖子我看了，那个函数我没弄好既然获取入口地址麻烦，如果不获取入口地址，有什么其他的特征来识别要暂停的线程线程名？另外，用Dll注入进程后，来暂停该进程的线程，是不是识别简单些？ 2009-5-29 16:27 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 5 楼要获取入口地址，可以用Native API： NtQueryInformationThread，以ThreadQuerySetWin32StartAddress为参数。（参考sysinternals）另外，如果是2003以后版本的系统，应该有个GetThreadStartInformation函数可以用，参考： 479K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3S2K6P5Y4S2U0P5q4)9J5k6h3y4F1i4K6u0r3g2$3W2F1k6r3!0%4M7@1q4b7d9g2)9J5c8V1k6#2L8X3y4@1K9h3!0F1g2X3W2W2N6#2)9J5k6h3q4K6M7s2S2Q4x3@1k6A6k6q4)9K6c8o6x3#2y4e0R3J5y4e0R3I4x3o6R3H3x3K6M7#2 2009-5-29 17:46 0
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 6 楼已经按加载顺序来识别了，谢谢2位热心的前辈新问题：暂停线程要线程句柄，百度搜了，说要OpenThread，我是用delphi的，OpenThread竟然不能用，超级郁闷，有没有懂Delphi的，教教怎么调用这个函数 2009-5-29 18:50 0
inioo 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 206 粉丝 0 关注私信	inioo 7 楼和语言无关吧？思路是一样的 2009-5-29 18:58 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 8 楼你要养成先问搜索引擎的习惯。 755K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4W2j5i4u0U0K9q4)9K6c8X3S2D9i4K6y4p5k6h3&6Q4x3U0k6U0L8r3W2W2L8Y4c8Q4x3@1c8X3K9i4u0W2k6X3!0^5i4K6u0V1j5g2)9J5y4Y4u0D9M7#2)9K6c8r3!0J5k6#2)9J5k6h3#2G2P5X3W2D9L8r3q4Q4x3U0f1K6b7i4A6Z5i4K6u0V1b7@1&6Q4x3U0f1K6b7h3!0X3k6X3W2U0K9h3q4D9i4K6t1$3K9s2y4Q4x3@1c8E0d9@1g2Q4x3U0k6I4i4K6y4p5k6r3g2D9M7r3S2A6i4K6u0n7L8%4m8W2L8Y4c8Z5M7X3g2S2k6q4)9J5y4X3u0@1L8V1N6Q4x3@1c8e0k6h3q4J5j5$3S2Q4x3U0k6S2M7g2)9K6c8r3k6Q4x3U0k6G2M7g2)9K6c8q4)9J5y4X3q4I4K9g2)9K6c8l9`.`. 2009-5-30 10:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 2 楼可能上面字太多，简化问题：已知线程id，如何获取线程入口地址 2009-5-29 16:07 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 3 楼同进程内，一般用fs:[0]回溯到0xFFFFFFFF时，在+18处就有线程入口地址了。但是，进程A查找进程B的线程入口地址，还真没试过。procexp上可以看到线程入口，但具体怎么实现就不知道喽。虽然进程A得到进程B的线程句柄，也可以通过GetThreadContext得到相关线程环境，但是不同进程间数据的读取显然不方便，特别是读fs:[0]，不知道能不能实现，嘿嘿，也没有做实验。我也就说说罢了。另，找到一篇也许有点用：8e3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1j5X3I4G2k6%4y4Q4x3X3g2U0L8$3#2Q4x3V1k6K6K9h3&6Y4L8r3g2J5j5h3y4W2i4K6u0r3j5i4u0U0K9r3W2$3k6g2)9J5c8U0t1H3x3o6S2Q4x3V1j5I4x3q4)9J5c8U0p5$3i4K6u0r3x3e0x3I4x3e0M7&6y4g2)9J5k6h3S2@1L8h3H3`. 搜索啊搜索 2009-5-29 16:07 0
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 4 楼多谢楼上解说，帖子我看了，那个函数我没弄好既然获取入口地址麻烦，如果不获取入口地址，有什么其他的特征来识别要暂停的线程线程名？另外，用Dll注入进程后，来暂停该进程的线程，是不是识别简单些？ 2009-5-29 16:27 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 5 楼要获取入口地址，可以用Native API： NtQueryInformationThread，以ThreadQuerySetWin32StartAddress为参数。（参考sysinternals）另外，如果是2003以后版本的系统，应该有个GetThreadStartInformation函数可以用，参考： 479K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3S2K6P5Y4S2U0P5q4)9J5k6h3y4F1i4K6u0r3g2$3W2F1k6r3!0%4M7@1q4b7d9g2)9J5c8V1k6#2L8X3y4@1K9h3!0F1g2X3W2W2N6#2)9J5k6h3q4K6M7s2S2Q4x3@1k6A6k6q4)9K6c8o6x3#2y4e0R3J5y4e0R3I4x3o6R3H3x3K6M7#2 2009-5-29 17:46 0
lionzzz 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	lionzzz 6 楼已经按加载顺序来识别了，谢谢2位热心的前辈新问题：暂停线程要线程句柄，百度搜了，说要OpenThread，我是用delphi的，OpenThread竟然不能用，超级郁闷，有没有懂Delphi的，教教怎么调用这个函数 2009-5-29 18:50 0
inioo 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 206 粉丝 0 关注私信	inioo 7 楼和语言无关吧？思路是一样的 2009-5-29 18:58 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 8 楼你要养成先问搜索引擎的习惯。 755K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4W2j5i4u0U0K9q4)9K6c8X3S2D9i4K6y4p5k6h3&6Q4x3U0k6U0L8r3W2W2L8Y4c8Q4x3@1c8X3K9i4u0W2k6X3!0^5i4K6u0V1j5g2)9J5y4Y4u0D9M7#2)9K6c8r3!0J5k6#2)9J5k6h3#2G2P5X3W2D9L8r3q4Q4x3U0f1K6b7i4A6Z5i4K6u0V1b7@1&6Q4x3U0f1K6b7h3!0X3k6X3W2U0K9h3q4D9i4K6t1$3K9s2y4Q4x3@1c8E0d9@1g2Q4x3U0k6I4i4K6y4p5k6r3g2D9M7r3S2A6i4K6u0n7L8%4m8W2L8Y4c8Z5M7X3g2S2k6q4)9J5y4X3u0@1L8V1N6Q4x3@1c8e0k6h3q4J5j5$3S2Q4x3U0k6S2M7g2)9K6c8r3k6Q4x3U0k6G2M7g2)9K6c8q4)9J5y4X3q4I4K9g2)9K6c8l9`.`. 2009-5-30 10:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复