Узнать откуда был создан поток.

Тема в разделе "WASM.WIN32", создана пользователем Flasher, 24 янв 2009.

  1. Flasher

    Flasher Member

    Публикаций:
    0
    Регистрация:
    31 янв 2004
    Сообщения:
    640
    Как Process Explorer узнает, откуда был создан поток, из dll, или из exe ?
     
    Flasher, 24 янв 2009
    #1
  2. Flasher

    Flasher Member

    Публикаций:
    0
    Регистрация:
    31 янв 2004
    Сообщения:
    640
    Получить стартовый адрес потока через ZwQueryInformationThread.
    Пролистать ldr, и чекать между каким DllBase и SizeOfImage окажется адрес.
    Спасибо за внимание :)
     
    Flasher, 24 янв 2009
    #2
  3. RamMerLabs

    RamMerLabs Well-Known Member

    Публикаций:
    0
    Регистрация:
    11 сен 2006
    Сообщения:
    1.426
    Flasher
    или с помощью ZwQueryVirtualMemory узнать BaseAddress секции и ею же узнать имя файла :)
     
    RamMerLabs, 24 янв 2009
    #3
  4. Flasher

    Flasher Member

    Публикаций:
    0
    Регистрация:
    31 янв 2004
    Сообщения:
    640
    Да, это более кородкий путь. Спасибо :)
     
    Flasher, 24 янв 2009
    #4