получаю список потоков процесса через ZwQuerySystemInformation, в THREAD_INFO есть поле StartAddress, но вот только указывает он в большинстве процессов на kernel32.dll? хотя в потоках на самом деле выполняются функции из других либ! Так как же определить модуль, в котором выполняется поток? и куда указывает StartAddress?
RamMerLabs Указывает он на код инициализации нового потока. Этот код находится в кернеле. В поле ThreadBasicInformation есть поле PNT_TIB Это и есть указатель на твой поток.
