Крякерам привет.
Хотелось бы прояснить один вопросик:
В многопоточных приложениях есть потребность знать контекст всех потоков. В частности адреса куда
будет передано управление, когда поток станет активен.
По команде "THREAD -r" , айс показывет EIP неактивных потоков = @KiSwapContext+002E. Это есть sux,
потому-что идти из этих дебрей до нужного потока довольно долго. А как быть с suspended потоками ?
Они ведь управление не получат пока их не резумнут. (отлавливать все CreateThread мне не понравилось,
хотя если иного пути нет, то конечно придется).
Разъясните чайнику, что тут можно сделать ?

| Сообщение посчитали полезным:

1) С таким вопросиком ты слегка ошибся форумом (или ресурсом).
2) Контекст потока бывает двух типов - ядра и ring3
3) Ты пытаешься получить аналог TaskInfo i Pexplor-a ?
4) Больше инфы о задаче.

| Сообщение посчитали полезным:

1. Самое место ему здесь. А ты бы куда запостил ?
2. Ринг3.
3. Ты имеешь ввиду PE explorer ?
4. А задача проста: В нужный момент сработал бряк, теперь мы находимся в данном потоке, и я хочу теперь поставить бряки во всех потоках на их текущий EIP, чтобы когда я нажму F5(run), я мог последовательно протрейсить каждый поток. Потому что я не знаю который из них мне гадит

| Сообщение посчитали полезным:

1) Писал я прогу, которая убивает потоки создавшые специфические окна.
Она брала контекст потока, и устанавливала Context.EIP = &dwExitThread.
Фокус в том, что если поток создал окно, его EIP находиться где то в глубине системмы. Для оживления я отсылал message.
Относительно твоей проблеммы: такой подход не катит.
Возможно стоит обратится к API ф-ям трассировки стека?

2) Продублируй топик на wasm-e

| Сообщение посчитали полезным:

Step пишет:
Фокус в том, что если поток создал окно, его EIP находиться где то в глубине системмы.

А как-же GetThreadContext ? Он ведь нормальный EIP возвращает ? Или я не прав ?
Я думаю ты имел ввиду, что EIP нах-ся в глубине системы, если поток вызвал wait-функцию(WaitForSingleObject и тд) , а если нет, то EIP должен быть ок. имхо.

Step пишет:
Относительно твоей проблеммы: такой подход не катит.

Очень это может быть

| Сообщение посчитали полезным:

TOG пишет:
А как-же GetThreadContext ? Он ведь нормальный EIP возвращает ? Или я не прав ?
В каком смысле нормальный? Если поток работает в теле проги (цикл скажем), то и EIP соответствующий (в адресном пространстве проги).
Если нет то EIP где-то в глубине user32, kernel32... да чего угодно например 0x77FFxxxx.

| Сообщение посчитали полезным:

И как же господа крякеры трассируют многопоточные приложения в общем случае ?
Вот мы в одном потоке входим допустим в Wait-функцию, тоесть этот поток тормозится, а какой-то
другой растормаживается , а нам-то хочется в него попасть. Как это технично сделать ?

| Сообщение посчитали полезным:

перед тем как использовать GetThreadContext надо заморозить поток а то вроде старые значения будут

| Сообщение посчитали полезным: