约有 2 项符合查询结果, 以下是第 1 - 1项。
费时 < 1 秒。
谢谢Raymond
那如何获取线程的启动地址呢
用zwqueryinformationthread ThreadQuerySetWin32StartAddress获取的是WIN32启动函数,对于内核线程,这个值为0.
偶搞不懂procexp是怎么获取的,不知道是不是在ring0下获取的
ring3下偶想不出什么方法来
Posted in C/C++本地代码调试
by
nevergone
on 2008-12-16
procexp查看system进程属性,
在thread选项卡中,
能够看到线程是属于哪个驱动模块的,
这样能在ring3下实现吗?
ring0下可以先取得内核模块的地址,再通过ETHREAD结构的StartAddress比较得到,
有人说可以考虑用调试API来获取,想问下有没有这样的API?
Posted in C/C++本地代码调试
by
nevergone
on 2008-12-15