如何在Windows中检索线程的起始地址？

我正在C的迷你Windows进程管理器上工作，我有一个线程的句柄。
如何检索该线程的起始地址？事情是这样的：
enter image description here 如何在Windows中检索线程的起始地址？

2012-06-21 The Pianist

这样的问题在几天前已经被问到了。这里有一个简单的解决方案：

DWORD WINAPI GetThreadStartAddress(HANDLE hThread) 
{ 
    NTSTATUS ntStatus; 
    HANDLE hDupHandle; 
    DWORD dwStartAddress; 

    pNtQIT NtQueryInformationThread = (pNtQIT)GetProcAddress(GetModuleHandle("ntdll.dll"), "NtQueryInformationThread"); 

    if(NtQueryInformationThread == NULL) 
     return 0; 

    HANDLE hCurrentProcess = GetCurrentProcess(); 
    if(!DuplicateHandle(hCurrentProcess, hThread, hCurrentProcess, &hDupHandle, THREAD_QUERY_INFORMATION, FALSE, 0)){ 
     SetLastError(ERROR_ACCESS_DENIED); 

     return 0; 
    } 

    ntStatus = NtQueryInformationThread(hDupHandle, ThreadQuerySetWin32StartAddress, &dwStartAddress, sizeof(DWORD), NULL); 
    CloseHandle(hDupHandle); 
    if(ntStatus != STATUS_SUCCESS) 
     return 0; 

    return dwStartAddress; 

}

来源：http://forum.sysinternals.com/how-to-get-the-start-address-and-modu_topic5127_post18072.html#18072

您可能必须包含这个文件：http://pastebin.com/ieEqR0eL

来源

2012-06-21 22:57:39

谢谢，但这个函数会返回一个数字。如何将其作为起始地址使用？ –

该函数返回目标进程地址空间中线程的起始地址。您可以以任何您想要的方式使用它（例如，如果您知道函数定义，则可以使用CreateRemoteThread函数将其转换并调用）。 –

我可以找回像这样的东西：chrome.dll！chromeMain + 0x11ded 使用那个数字吗？ –

你应该能够得到一个堆栈跟踪与StackWalk64或相关功能，然后用dbghelp.dll解析它。

这CodeProject上的文章可以解释这一切详细： http://www.codeproject.com/KB/threads/StackWalker.aspx

来源

2012-06-21 22:51:19 Crashworks

NtQueryInformationThread与ThreadQuerySetWin32StartAddress。另一种可能是用StackWalk64走线的堆栈。

如果您只需要起始地址，NtQueryInformationProcess是lot更简单。即使编码相当简洁，走栈也需要几百个左右。

来源

2012-06-21 22:52:17

如何在Windows中检索线程的起始地址？

回答

相关问题