0

我想使用进程 ID 和线程 ID 检索进程的线程起始地址。
这是我的代码: 

DWORD WINAPI GetThreadStartAddress(DWORD tid, DWORD pid)
{

 NTSTATUS ntStatus;

 HANDLE hDupHandle;

 DWORD dwStartAddress;

 HANDLE hProcess;

HANDLE hTread;

pNtQIT NtQueryInformationThread;

hTread = OpenThread(THREAD_ALL_ACCESS, FALSE, tid);

NtQueryInformationThread = (pNtQIT)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtQueryInformationThread");

if(NtQueryInformationThread == NULL)
    return 0;
hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
SuspendThread(hTread);
if(!DuplicateHandle(hProcess, hTread, hProcess, &hDupHandle, THREAD_QUERY_INFORMATION, FALSE, 0)){

    SetLastError(ERROR_ACCESS_DENIED);

    return 0;

}

ntStatus = NtQueryInformationThread(hDupHandle, ThreadQuerySetWin32StartAddress, &dwStartAddress, sizeof(DWORD), NULL);
ResumeThread(hTread );
CloseHandle(hTread);
CloseHandle(hProcess);

CloseHandle(hDupHandle);



if (ntStatus != 0)
    return 0;

return dwStartAddress;

}

但 ntStatus 始终不为 0。为什么?

4

2 回答 2

1

OpenThread & OpenProcess 可能会失败(尤其是由于权限不足)。在调用 NtQueryInformationThread 之前,您需要确保您有有效的句柄。

于 2012-06-25T07:20:06.830 回答
1

假设这pid指向您尝试获取信息的进程,那么您是hDupHandle在该远程进程的上下文中创建的,而不是您自己的。您自己的进程可能有也可能没有具有相同数值的句柄,但它不是您打算使用的。

此外,出于同样的原因,您正在从远程进程复制一个随机句柄,而不是从 OpenThread 获得的句柄。

调用DuplicateHandle应该是

DuplicateHandle(GetCurrentProcess(), hTread, GetCurrentProcess(), &hDupHandle, 
  THREAD_QUERY_INFORMATION, FALSE, 0)

虽然我不知道为什么你首先要复制手柄而不是直接使用它。

于 2012-06-24T21:46:15.783 回答