Windows中获取线程起始地址

最新推荐文章于 2024-11-17 10:41:00 发布
原创 最新推荐文章于 2024-11-17 10:41:00 发布 · 7.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在Windows操作系统中如何确定线程的起始地址,特别是在需要验证线程是否从特定模块开始执行时。线程的StartAddress存储在_RING3不可访问的_ETHREAD结构内。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        偶尔碰到了一个小需求,要验证一个线程起始于某个模块,可以限制对代码的执行,起始于特定的线程。

        线程的起始地址StartAddress,保存在了 _ETHREAD 结构中,无法从Ring3获取。

kd> dt _ethread 80553740  
ntdll!_ETHREAD
   +0x000 Tcb              : _KTHREAD
   +0x1c0 CreateTime       : _LARGE_INTEGER 0x0
   +0x1c0 NestedFaultCount : 0y00
   +0x1c0 ApcNeeded        : 0y0
   +0x1c8 ExitTime         : _LARGE_INTEGER 0x0
   +0x1c8 LpcReplyChain    : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x1c8 KeyedWaitChain   : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x1d0 ExitStatus       : 0
   +0x1d0 OfsChain         : (null) 
   +0x1d4 PostBlockList    : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x1dc TerminationPort  : (null) 
   +0x1dc ReaperLink       : (null) 
   +0x1dc KeyedWaitValue   : (null) 
   +0x1e0 ActiveTimerListLock : 0
   +0x1e4 ActiveTimerListHead : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x1ec Cid              : _CLIENT_ID
   +0x1f4 LpcReplySemaphore : _KSEMAPHORE
   +0x1f4 KeyedWaitSem
最低0.47元/天 解锁文章

200万优质内容无限畅学
Windows平台C语言多线程
MTALAB的博客
08-30 409
windwos平台、多线程、并行
Get Thread StartAddress
05-13
获取线程起始地址的样例,VS2008可以直接编译通过。
C++ 获取线程入口地址、所在模块
LYSM
08-20 4493
大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 … 今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。 准备工作: #prag...
查询线程入口地址源码
01-13
查询线程入口地址源码
获取某个进程的所有线程ID和入口地址
吾无法无天的博客
02-14 3408
因为有个要定位线程头部特征的需要(有些游戏调试器一附加就立马死掉,多半是有个线程在搞鬼,杀掉这个线程就可以正常附加调试了),首先要找到线程入口地址,在网上找了下,发现在获取64位程序的线程信息时,入口地址是错的(64位的地址溢出了),稍稍改动了一下(要编译为64位) #include <windows.h> #include <tlhelp32.h> #include ...
获取线程启动地址 C 源码[收藏]http://www.jm-m.cn/html/366.html
zwjchina的专栏
11-03 2727
#define   WIN32_LEAN_AND_MEAN     #define   _WIN32_WINNT   0x400     #include        #include        #include        #include        #include        #include            #pragma   comment   (lib,   "ps
线程起始地址获取方法示例分析
Win32 API 获取线程起始地址 在Win32 API中,并没有直接的函数可以查询已存在的线程起始地址。要实现这一功能,我们通常需要借助调试API,如`GetThreadContext`,来获取线程的上下文信息,然后从上下文中读取...
windows API 线程的创建
10-20
3. `lpStartAddress`:线程起始地址,即线程函数。当新线程开始运行时,会调用这个函数。 4. `lpParameter`:传递给线程函数的参数,可以是任何类型的数据指针。 5. `dwCreationFlags`:控制线程的创建方式,如...
NtQueryInformationThread 0x9 ThreadQuerySetWin32StartAddress 问题
你连心爱的女人的大便都不敢吃, 还敢说爱她
11-23 1206
根据MSDN If this parameter is the ThreadQuerySetWin32StartAddress value of the THREADINFOCLASS enumeration, the function returns the start address of the thread. Note that on versions of Windows prior t...
得到线程入口地址的方式
weixin_30909575的博客
01-13 580
获取入口地址,可以用Native API: NtQueryInformationThread,以ThreadQuerySetWin32StartAddress为参数 具体代码: .h: #pragma once typedef LONG NTSTATUS; typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE Th...
线程获取线程相关信息的方法、线程的两种实现方式、线程的优先级 与 slepp阻塞 等
qq_36028783的博客
01-28 685
JVM启动后会创建一条线程来执行main方法,并取名为“main",所以通常称它为:“主线程”后期会学习到一个很重要的API:ThreadLocal,它可以使得我们在一个线程上跨越多个。方法时共享数据使用,其内部要用到currentThread方法来辨别线程线程 [ 线程名字 , 线程的优先级 , 线程组 ]java中所有的代码都是靠线程执行的,main方法也不例外。我们自己定义的线程在不指定名字的情况下系统会分配一个名字,获取运行该方法的线程获取线程的唯一标识。
线程-1-线程概念与地址空间
最新发布
li_peixiansang的博客
11-17 947
进程概念, 内存管理(struct page), mm_struct, vm_area_struct, pthread_create, LWP
C/C++ 获取线程入口地址模块等
优快云
07-16 9461
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
Windows核心编程笔记(十九) SEH结构化异常处理_未处理异常及向量化异常
春暖花开
02-13 3736
UnhandledExceptionFilter函数详解  BaseProcessStart伪代码(Kernel32内部) void BaseProcessStart(PVOID lpfnEntryPoint) //参数为线程函数的入口地址 { DWORD retValue; DWORD currentESP; DWORD exceptionCode;
应用层阻止远程线程注入
XboxMicro
02-19 2459
利用DLL_THREAD_ATTACH即可。当有新线程加入时,进行过滤即可。 BOOL WINAPI DllMain(HINSTANCE hinstDll, DWORD fdwReason, PVOID fImpLoad) 2 { 3 switch (fdwReason) 4 { 5 6 case DLL_PROCESS_ATTACH: 7 8
Win32 结构化异常处理(SEH)探秘
乱码涅磐的专栏
01-26 951
Win32 结构化异常处理其核心是操作系统提供的服务,你能找到的关于 SEH 的所有文档都是描述一个特定的编译器运行时库,这个运行库包装着操作系统实现。在本文中,我将一层一层对 SEH 进行剥离,以便展现其最基本的概念。 在 Win32 操作系统提供的所有功能中,使用最广泛但最缺乏文档描述的也许就是结构化异常处理了(SEH),当你考虑 Win32 结构化异常处理时,你也许会想到诸如 _try,_
Ethread结构体介绍(未完待更新)
weixin_43751677的博客
07-06 370
StartAddress 总是 ntdll!RtlUserThreadStart(在win7下的3环线程)Win32StartAddress 等于 imagebase+entrypoint(基址 +程序入口点)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值