首页
论坛
课程
招聘
[求助] 使用NtQuerySystemInformation 查询线程疑问。
2018-2-15 23:50 2279

[求助] 使用NtQuerySystemInformation 查询线程疑问。

2018-2-15 23:50
2279
各位大佬新年快乐,小弟在使用NtQuerySystemInformation来查询一个进程的所有线程,但是和火荣剑做对比,PSYSTEM_PROCESS_INFORMATION里面的Thread记录的线程起始地址和火荣剑的不一致,我自己想要获取的应该也是火荣剑的线程起始地址。 我想问下真正的线程起始地址是从哪获取的。。。


【公告】【iPhone 13、ipad、iWatch】11月15日中午12:00,看雪·众安 2021 KCTF秋季赛 正式开赛【攻击篇】!!!文末有惊喜~

最后于 2018-2-16 00:17 被寧靜致遠编辑 ,原因:
收藏
点赞0
打赏
分享
最新回复 (3)
雪    币: 239
活跃值: 活跃值 (370)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
寧靜致遠 活跃值 2018-2-16 00:39
2
0
知道了。可以从ETHREAD里面获取PVOID Win32StartAddress;的线程地址,但问题是我这不是驱动程序。。
最后于 2018-2-16 00:40 被寧靜致遠编辑 ,原因:
雪    币: 10569
活跃值: 活跃值 (4335)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2018-2-16 15:19
3
0
寧靜致遠 知道了。可以从ETHREAD里面获取PVOID Win32StartAddress;的线程地址,但问题是我这不是驱动程序。。
NtQueryInformationThread  有个功能号就是QueryWin32StartAddress
最后于 2018-2-16 15:19 被hzqst编辑 ,原因:
雪    币: 239
活跃值: 活跃值 (370)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
寧靜致遠 活跃值 2018-2-16 19:16
4
0
hzqst 寧靜致遠 知道了。可以从ETHREAD里面获取PVOID Win32StartAddress;的线程地址,但问题是我这不是驱动程序。。 NtQueryI ...
谢谢大佬告知。
游客
登录 | 注册 方可回帖
返回