获取某个进程的所有线程ID和入口地址

最新推荐文章于 2024-02-07 11:42:06 发布
最新推荐文章于 2024-02-07 11:42:06 发布
阅读量3k 收藏 6
点赞数 2
分类专栏: Windows内核研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44286745/article/details/104316642
版权

因为有个要定位线程头部特征的需要(有些游戏调试器一附加就立马死掉,多半是有个线程在搞鬼,杀掉这个线程就可以正常附加调试了),首先要找到线程入口地址,在网上找了下,发现在获取64位程序的线程信息时,入口地址是错的(64位的地址溢出了),稍稍改动了一下(要编译为64位)

#include <windows.h>
#include <tlhelp32.h>
#include "iostream"
using namespace std;

typedef LONG NTSTATUS;
typedef NTSTATUS(WINAPI* NTQUERYINFORMATIONTHREAD)(
    HANDLE ThreadHandle,
    ULONG ThreadInformationClass,
    PVOID ThreadInformation,
    ULONG ThreadInformationLength,
    PULONG ReturnLength);
typedef enum _THREADINFOCLASS
{
    ThreadBasicInformation,
    ThreadTimes,
    ThreadPriority,
    ThreadBasePriority,
    ThreadAffinityMask,
    ThreadImpersonationToken,
    ThreadDescriptorTableEntry,
    ThreadEnableAlignmentFaultFixup,
    ThreadEventPair_Reusable,
    ThreadQuerySetWin32StartAddress,
    ThreadZeroTlsCell,
    ThreadPerformanceCount,
    ThreadAmILastThread,
    ThreadIdealProcessor,
    ThreadPriorityBoost,
    ThreadSetTlsArrayAddress,   // Obsolete
    ThreadIsIoPending,
    ThreadHideFromDebugger,
    ThreadBreakOnTermination,
    ThreadSwitchLegacyState,
    ThreadIsTerminated,
    ThreadLastSystemCall,
    ThreadIoPriority,
    ThreadCycleTime,
    ThreadPagePriority,
    ThreadActualBasePriority,
    ThreadTebInformation,
    ThreadCSwitchMon,          // Obsolete
    ThreadCSwitchPmu,
    ThreadWow64Context,
    ThreadGroupInformation,
    ThreadUmsInformation,      // UMS
    ThreadCounterProfiling,
    ThreadIdealProcessorEx,
    MaxThreadInfoClass
} THREADINFOCLASS;

void GetProcessThreadInfo(DWORD PID)
{
    UINT64 起始地址 = NULL;
    DWORD dwReturnLength = NULL;
    HANDLE 线程句柄 = NULL;
    THREADENTRY32 te32;
    te32.dwSize = sizeof(te32);
    HMODULE hNtdll = LoadLibraryW(L"ntdll.dll");
    NTQUERYINFORMATIONTHREAD NtQueryInformationThread = NULL;
    NtQueryInformationThread = (NTQUERYINFORMATIONTHREAD)GetProcAddress(hNtdll, "NtQueryInformationThread");

    HANDLE Snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, NULL);
    if (Thread32First(Snapshot, &te32))
    {
        do
        {
            线程句柄 = OpenThread(THREAD_ALL_ACCESS, FALSE, te32.th32ThreadID);
            NtQueryInformationThread(线程句柄, ThreadQuerySetWin32StartAddress,
                &起始地址, sizeof(起始地址), &dwReturnLength);

            if (PID == GetProcessIdOfThread(线程句柄))
            {
                cout.setf(ios::showbase | ios::uppercase);
                cout << dec << "线程ID:" << te32.th32ThreadID;
                cout << hex << "\t入口地址:" << 起始地址 << endl;;
            }

        } while (Thread32Next(Snapshot, &te32));
    }
}

int main()
{
    while (1)
    {
        DWORD pid = 0;
        cout << "请输入进程ID:";
        cin >> pid;
        GetProcessThreadInfo(pid);
    }
}

参考自:https://www.cnblogs.com/IMyLife/p/4826260.html

吾无法无天
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
查询线入口地址源码
01-13
查询线入口地址源码
C/C++ 获取线入口地址模块等
CSDN
07-16 7657
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
得到某个进程所有线ID入口地址
dengjiatao9832的博客
09-21 297
1 #include <windows.h> 2 #include <tlhelp32.h> 3 #include "iostream" 4 using namespace std; 5 void PASS_TPTHREAD(WCHAR ProcessName[]); 6 typedef LONG NTSTATUS; 7 typede...
VC获取线入口函数的退出码(分别由CreateThread,_beginthread,_beginthreadex与AfxbeginThread 创建的子线程 )
xbmoxia的专栏
11-27 2992
在 VC 编程中,若是涉及到多线程编程时,有时我们也需要根据情况获取线入口函数的退出码,以便根据具体的程序运行情况做相应的处理。        之前我在使用 VC 开发程序时,也遇到过需要获取线入口函数的退出码的问题,由于起初没有做过相似的程序,所以只会定义一个全局变量来根据情况,在子线程的入口函数里再为其赋予相应的值。虽然这也是一种方法,但根本不能决定根本的问题,而且若程序中的
Java--线
Janemy_的博客
07-16 126
Java--线
进程线入口的探究
IT男也疯狂
05-27 2241
由于要写个检测功能,对于这块进行了下探究。 线程的常规启动有2种: 1、Createthread方式 ,纯win api的方法 2、_beginthreadex方式,这是VC中安全使用线程的方法 下面给出DEMO代码: #include #include unsigned int __stdcall DemoThread1(PVOID p){ while (1) { pri
得到进程列表的例子代码
vingo888的专栏
08-17 532
#include #include #include //  Forward declarations:BOOL GetProcessList( );BOOL ListProcessModules( DWORD dwPID );BOOL ListProcessThreads( DWORD dwOwnerPID );void printError( TCHAR* msg );void main( )
获取线ID 和当前线
实践求真知
02-19 3986
一 点睛 1 API // 获取线程唯一 ID public long getId() // 获取线程名称 public final String getName() // 当前执行线程的引用 public static native Thread currentThread() 2 说明 线程的 ID 在整个 JVM 进程中都会是唯一的,,并且从 0 开始逐次递增。 mian 线程的 getId() 并不等于0,这是因为在一个 JVM 进程启动的时候,实际上是开辟了很多个线程,自增序列已经有了一
Windows中获取线程起始地址
Fly Follow the Heart
05-13 7168
偶尔碰到了一个小需求,要验证一个线程起始于某个模块,可以限制对代码的执行,起始于特定的线程。         线程的起始地址StartAddress,保存在了 _ETHREAD 结构中,无法从Ring3获取。 kd> dt _ethread 80553740 ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x1c0 Cre
使用 NtQuerySystemInformation 遍历进程信息
最新发布
溡漪幽博客
02-07 768
通过遍历系统进程信息,我们可以了解系统中运行的各种进程的详细信息,从而更好地进行系统管理和性能优化。本文介绍了一种通过调用 Windows 系统API来获取并遍历系统进程信息的技术,并提供了一段示例代码以帮助读者理解该技术的实现方法。
NtQueryInformationThread 0x9 ThreadQuerySetWin32StartAddress 问题
你连心爱的女人的大便都不敢吃, 还敢说爱她
11-23 1090
根据MSDN If this parameter is the ThreadQuerySetWin32StartAddress value of the THREADINFOCLASS enumeration, the function returns the start address of the thread. Note that on versions of Windows prior t...
Android线程管理之ActivityThread
01-04
它管理应用进程的主线程的执行(相当于普通Java程序的main入口函数),并根据AMS的要求(通过IApplicationThread接口,AMS为Client、ActivityThread.ApplicationThread为Server)负责调度和执行activities、broadcasts...
ProcInsp:具有Web UI的Windows进程资源管理器。 显示多个(远程)服务器上正在运行的进程的列表。 允许监视正在运行的CLR进程线程堆栈。 允许在w3wp worker上监视当前执行请求
05-22
Kibana URL可配置)线程和请求特征显示当前正在运行的请求(仅适用于IIS进程) 显示进程的所有正在运行的线程应用程序在堆栈跟踪中的入口点显示为线程的名称(应将哪个框架视为入口点是可配置的) 如果线程中发生...
Delphi多线程教程
04-06
Delphi中有一个线程类TThread是用来实现多线程...起始地址,参数,创建标志(用于设置线程创建时的状态),线ID,最后返回线程Handle。其中的起始地址就是线 程函数的入口,直至线程函数结束,线程也就结束了。
0day学习笔记(3)Windows定位API引起的惨案(原理)
01-07
段选择器FS与TEB WinNT内核下内存采用保护模式,段寄存器的意义与实模式汇编下的意义不同.另外,FS存的是段选择子,而不是实模式下的高16位基地址。...024h 线ID 02Ch 指向线程局部存储指针 030h
查看系统进程详细信息ProcessThreadsViewx64V1.25中文绿色免费版
07-25
processthreadsview是一款非常优秀的进程信息查看工具,能够按照用户的需求选择指定进程查看参数信息,包括线ID的目录、相关设置上下文、优先级、创建时间、用户内核时间、系统位置、窗口标题、函数入口地址等等。...
关于Win7 x64下过TP保护(应用层)(转)
weixin_30565327的博客
07-21 1044
非常感谢大家那么支持我上一篇教程。Win10 快出了,所以我打算尽快把应用层的部分说完。调试对象:DXF调试工具:CE、OD、PCHunter、Windbg调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。应用层:1、TP让调试器卡死(内核互动)现象:<ignore_js_op>如图,TP会检测调试器让调试器暂...
利用进程ID获取线ID
TJT999
02-19 9085
<br />利用进程ID获取线ID,仅适用于单线程。多线程应区分哪个是主线程,区分方法待验证<br />(1)好像可以用StartTime最早的,不过通过线程执行时间不一定可靠,要是在最开始就CreateThread了,线程的执行时间会相同。可以通过回溯栈上的值来判断哪个线程是主线程,主线程的栈多少有些不同。最明显就是主线程栈上的PE入口点 信息,没有这个的就是子线程。<br /> (2)CsrProcessLink中取CsrProcessInfo->ClientId.UniqueThread即可,
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 1276
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
初始化线程创建
05-28
在操作系统中,线程是程序执行的基本单元,而进程则是操作系统分配资源的基本单位。在创建线程时,需要先分配线程的堆栈空间,然后将线程的入口地址和参数传递给线程函数,最后创建线程并启动它。 线程的创建可以使用操作系统提供的线程库,如Windows的WinAPI或Linux的pthread库。在使用这些库时,需要调用相应的函数来创建线程,如在Windows中使用CreateThread函数,在Linux中使用pthread_create函数。 通常,线程创建时需要指定线程函数的入口地址和参数,如: ``` // Windows HANDLE hThread = CreateThread(NULL, 0, ThreadFunc, lpParam, 0, NULL); // Linux pthread_t thread; pthread_create(&thread, NULL, ThreadFunc, arg); ``` 其中,ThreadFunc表示线程函数的入口地址,lpParam和arg为线程函数的参数。线程创建成功后,可以使用线程句柄或线ID来操作线程,如等待线程结束、挂起线程等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾无法无天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值