Hacking Windows CE: 如何从线程ID获取线程名称

 在一个线程出现异常行为时，比如说CPU占用率过高，抛出异常等，你一定想知道这个线程是由哪个模块创建的。因此无论在哪个操作系统上，获取线程名称是诊断线程相关问题的重要一步。

从线程ID获取线程名称通常的方法是，先获取该线程的入口地址，然后枚举进程内所有已加载模块，最后判断线程入口地址落在哪个加载模块范围内。枚举进程内已加载模块可用Win32标准的CreateToolhelp32Snapshot/Module32First/Module32Next系列ToolHelp API得到。获取线程入口地址则没有线程的Win32 API可用。不过在Windows NT based操作系统上（包括Windows NT 4.0/2000/XP/2003，等），有一个未公开的Native API可用：NtQueryInformationThread。其声明如下：

DWORD WINAPI NtQueryInformationThread(
                HANDLE ThreadHandle,
                THREAD_INFORMATION_CLASS ThreadInformationClass,
                PVOID ThreadInformation,
                ULONG ThreadInformationLength,
                PULONG ReturnLength
                );

获取线程入口地址可用：

DWORD GetThreadStartAddress(DWORD dwThreadId)
... {
    HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, dwThreadId);
    DWORD retaddr, len, error;
    retaddr = len = 0;
    error = NtQueryInformationThread( hThread, 9, &retaddr, sizeof(retaddr), &len );
    CloseHandle(hThread);
    if( error != 0 )
        retaddr = 0;
    return retaddr;
}

在Windows CE上就没这么幸运了，没有任何现成的API可用。官方Windows CE Base Team的 blog对 这个问题的回答是可以用Remote Kernel Tracker，不过这需要你build一个特殊的kernel image，enable一些profiler功能－这在显示的问题诊断中显然是不实际的。那么有没有办法不需要什么特殊的配置就可像Windows桌面操作系统那样获得入口地址呢？有是有的，不过需要一些hack手段。仔细研究CE下的Thread内核数据结构，就会发现Thread结构中有一项是记录线程入口地址的。

typedef  struct  Thread  ... {
    DWORD _1[3];
    PPROCESS pProc; /**//* 0C: pointer to current process */
    PPROCESS pOwnerProc; /**//* 10: pointer to owner process */
    DWORD _2[18];
    DWORD dwStartAddr; /**//* 5c: thread PC at creation, used to get thread name */
    DWORD _3[10];
} THREAD,  * PTHREAD;  /**/ /* Thread */

因此要做的就是想办法根据线程ID或handle得到这个数据。再研究，发现线程的Thread内核数据结构可通过句柄得到：

PTHREAD pTh  =  HandleToThread(ThreadHandle);

而且，在Windows CE下，线程ID和其handle的值是一样的！！因此我们可以写一个这样的函数从线程ID拿到入口地址：