получение CPL 0

Суспендить поток необязательно.

 

Код (Text):

1.     xor ecx, ecx
2.     push IdThread
3.     push ecx
4.     push ecx
5.     push ThreadFunc
6.     push ecx
7.     push ecx
8.     call [CreateThread]
9.     mov [hThread], eax
10.  
11. ;   mov eax, dword [hThread]
12. ;   push eax
13. ;   call [SuspendThread]
14.  
15.     push _context
16.     mov dword [_context.ContextFlags], CONTEXT_ALL
17.     mov eax, dword [hThread]
18.     push eax
19.     call [GetThreadContext]
20.  
21.     mov eax, dword [_context.EFlags]
22.     mov esi, str_out
23.     call BinToHex_32
24.  
25.     push    0
26.     push    _caption
27.     push    str_out
28.     push    0
29.     call    [MessageBoxA]
30.  
31.     push    0
32.     call    [ExitProcess]
33.  
34. proc ThreadFunc
35.     mov eax, 0x12345678
36. @@:
37.     add ecx, 1
38.     loop @B
39.     ret
40. endp

все вызовы API отрабатывает без ошибок, структура прилагается,
в результате пустой контекст ((.
P.S. без суспенда тоже самое

 

А какой он по твоему должен быть, если новый поток еще не запустился ?
Хотя бы sleep для "приличия" поставь, или еще лучше на GetCurrentThread проверь для начала

PS: для получения контекста суспендить поток не обязательно, просто если не суспендить, то неизвезтно какому моменту времени будет соответсвовать состояние регистров

 

t00x
Гыы, просто супер :-D

 

Не знаю как из под 95, но под XP векторы [30%FF] - заглушки(KiUnexpectedInterruptTail). Попробуй вызвать
Чел уже второй день пытается правильные параметры в NtGetContextThread скормить

 

А по-моему, ntvdm запрещал

 

из нового потока тоже не получает контекст главного потока.
может структуру CONTEXT неправильно перекодил?

 

t00x
Ты прикалываешся ?
Local Context:CONTEXT
mov Context.ContextFlags,CONTEXT_DEBUG_REGISTERS
invoke ZwGetContextThread, ThreadHandle, addr Context