2
通常我只會欺騙和使用NtQueryInformationThread爲ThreadBasicInformation 得到TebBaseAddress如何從x64模式的windows下的現有32位進程獲得32位堆棧限制/ 32位TEB/TIB?
但WOW64線程有兩個棧,這樣只會得到64位TEB。
A
回答
2
我發現的最好方法是獲取32位上下文(不是通過GetThreadContext,而是Wow64GetThreadContext)並使用Wow64GetThreadSelectorEntry獲取FS [0]的地址,然後使用ReadProcessMemory。但最大的問題是,這需要Win7/Windows2008服務器R2)
1
您是否使用Windows調試接口連接到進程?如果是這樣,當創建新線程時,您應該能夠使用事件CREATE_THREAD_DEBUG_INFO和CREATE_PROCESS_DEBUG_INFO的lpThreadLocalBase字段來獲取TEB基地址。
但我認爲這隻適用於如果您的調試器已經從其創建過程控制過程。這將無助於附加到現有的流程。
1
這是一個比較容易,雖然無證,方法:http://redplait.blogspot.ru/2012/12/teb32-of-wow64-process.html
+1
似乎有效,我個人更喜歡: http://www.dumpanalysis.org/blog/index.php/2010/10/08/raw-stack-dump-of-all-threads-part-4/ – Dan
相關問題
- 1. WOW64:從32位進程獲得x64%CommonProgramFiles%
- 2. 64位OS/32位進程
- 3. Linux 32位機器上程序的堆棧分配限制
- 4. XOR高32位,低32位,64位數
- 5. 在Windows 7 64位上使用Java 32位的Eclipse 32位
- 6. Windows 7(64位)上的IIS 7和Ms Access 32位32位
- 7. 位操作,以獲得32位的int
- 8. 如何從32位代碼啓動64位Windows進程?
- 9. GetModuleFileNameEx對32位進程從Windows 64位進程10
- 10. 32位/ 64位Windows/Linux應用程序
- 11. 如何從32位進程啓動64位進程
- 12. 從32位變爲64位
- 13. 從32位到64位
- 14. Windows上的32位音頻?
- 15. 32位進程無法訪問64位進程中的模塊
- 16. 32位和64位dll的windows服務
- 17. Windows上的Perl:32位或64位?
- 18. 64位Windows 2008上的32位cluster.exe
- 19. 從32位應用程序
- 20. 永久運行在32位模式下
- 21. 在32位模式下打開
- 22. 在32位模式下打開Xcode 4.3.1
- 23. 64位的32位除法
- 24. 什麼是適合32位和64位「32位」的術語
- 25. 如何識別32位進程
- 26. 從32位訪問64位ODBC過程
- 27. Windows 7 64位不正確PATH當加載32位庫的32位exe
- 28. SharePoint 2010加上VS 2010在Windows 7上的32位和Sql Server 32位64位
- 29. 運行支持32位的32位與日食JVM在Windows 64位
- 30. 32位整型
是的,這是對現有的流程,但是這是一個很好的點。其他人可能會覺得滿意。 – Dan