【发布时间】:2012-06-22 09:17:11
【问题描述】:
我想使用进程 ID 和线程 ID 检索进程的线程起始地址。
这是我的代码:
DWORD WINAPI GetThreadStartAddress(DWORD tid, DWORD pid)
{
NTSTATUS ntStatus;
HANDLE hDupHandle;
DWORD dwStartAddress;
HANDLE hProcess;
HANDLE hTread;
pNtQIT NtQueryInformationThread;
hTread = OpenThread(THREAD_ALL_ACCESS, FALSE, tid);
NtQueryInformationThread = (pNtQIT)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtQueryInformationThread");
if(NtQueryInformationThread == NULL)
return 0;
hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
SuspendThread(hTread);
if(!DuplicateHandle(hProcess, hTread, hProcess, &hDupHandle, THREAD_QUERY_INFORMATION, FALSE, 0)){
SetLastError(ERROR_ACCESS_DENIED);
return 0;
}
ntStatus = NtQueryInformationThread(hDupHandle, ThreadQuerySetWin32StartAddress, &dwStartAddress, sizeof(DWORD), NULL);
ResumeThread(hTread );
CloseHandle(hTread);
CloseHandle(hProcess);
CloseHandle(hDupHandle);
if (ntStatus != 0)
return 0;
return dwStartAddress;
}
但 ntStatus 总是不为 0。为什么?
【问题讨论】:
-
ntStatus 的值是多少?来自文档:“NTSTATUS 错误代码的形式和意义在 DDK 中可用的 Ntstatus.h 头文件中列出,并在内核模式驱动程序架构/设计指南/驱动程序编程技术/记录错误下的 DDK 文档中进行了描述。”
-
您是否为调用进程启用了
SeDebugPrivilege?您还应该检查来自OpenThread()和OpenProcess()的返回值。 -
我不知道 SeDebugPrivilege 是什么!我该如何启用它?它们运行良好且不返回 NULL。
-
dwStartAddress也应该是PVOID,尤其是在 64 位 Windows 上运行时。
标签: c windows multithreading winapi