Имеем такие параметры этой функции:


насколько я понимаю поток должен начать выполняться сразу после создания, но поток создается приостановленным.

Почему?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Не особо наглядно вы продемонстрировали вызов функции CreateThread()

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Потому что до старта потока должны выполняться некоторые действия, это нотификация Csrss и вызов SaferiReplaceProcessThreadTokens().

| Сообщение посчитали полезным:

Coderess

Не особо наглядно потому что прот (PROTECTiON iD) сбрасывает железные бряки и простые палит не только в программе но и на начале функций поэтому пришлось поставить бряк на третью строку CreateThread, поэтому такая наглядность, из за обфускации в самой проге тоже смысла нет код приводить там ничего не видно, поэтому взял из стека после начала выполнения CreateThread.

Clerk

SaferiReplaceProcessThreadTokens - она по моему только в семерке нужна, но возможно ошибаюсь. Получается что поток и должен создаваться приостановленным? А когда он должен запускаться в таком случае или этот поток вообще создан для галочки и выполняться не будет, такой вариат возможен из за того что здесь напихано довольно много всего просто для запутывания?
Нотификация Csrss - где можно что либо почитать, что то ничего не нашел.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Чего-то не то... У функции 6 параметров, а в стеке показано 5.
HANDLE WINAPI CreateThread(
__in_opt LPSECURITY_ATTRIBUTES lpThreadAttributes,
__in SIZE_T dwStackSize,
__in LPTHREAD_START_ROUTINE lpStartAddress,
__in_opt LPVOID lpParameter,
__in DWORD dwCreationFlags,
__out_opt LPDWORD lpThreadId
);

стек нового потока???

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB

Все расписал как сказали- все 6 параметров.
То что, что то не то, и я подозреваю, а вот что?
Поток создается, но приостановленный, хотя по идее должен выполняться сразу после создания.
Когда я выхожу из CreateThread без отладчика, затем аттачусь у меня вообще другая картина получается:



Получается три потока и все нормально выполняются.
Видимо гдето создание еще одного потока я пропускаю, буду искать.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m
> по идее должен выполняться сразу после создания.
Не должен, причины описаны в #3. Независимо от флажка переданного в апи, поток будет создан остановленным, далее выполняются необходимые манипуляции и тред ресумится.

| Сообщение посчитали полезным:

Я незнаю почему, но шаманством (вначале циклю на нескольких адресах потом аттачусь) я попадаю на стартовый адрес потока и он уже запущен:



До этого никаких проблем с трассировкой потоков небыло, первый раз столкнулся с тем, что после выхода из CreateThread я не могу брякнутся по стартовому адресу созданного нового потока.
При этом первый (первичный) у меня зациклен и остановлен сразу после выхода из CreateThread:



-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Ну если уж тут говорят за Пепку, тогда может быть подскажите как он палит отладчики?
Проверка на драйвера проходит успешно, отладчик не палится, а потом каким-то раком палимся.
Интересный факт - мы палимся в любом случае, даже если отладчика нету))) Трейсил, трейсил...

---------------------------
OpenBox 3.16
---------------------------
Debugger found



A debugger has been found running in your system.

Please, unload it from memory and restart your program !

ADDED:
Сабжевая прога в этом топике накрыта пепкой.

gena-m
Странно, у меня не виснет

-----
Research For Food

| Сообщение посчитали полезным:

Ну если уж тут говорят за Пепку, тогда может быть подскажите как он палит отладчики?
Начинается все с TLS там он проверяет бряк на ОЕП (который отладчик ставит автоматом), затем сбрасываются железные бряки (предполагаю при проходе исключений, не проверял, просто их не использую), используется установка обработчиков исключений через SetUnhandledExceptionFilter, а их отладчик не устанавливает, в результате обработчика нет и исключение валит отладчик(использую плагин Hide Debugger), затем идет проверка имен окон, классов, поиск драйверов (в т.ч и сиськи),получается что ему не нравится присутствие отладчика на компе а не факт его работы, хотя это тоже он определяет, на данный момент накопал это, если интересно. Падение программы происходит довольно далеко от того места где обнаружен отладик, поэтому тсяжело определить причину.

Я не сказал что виснет просто как то не так идет работа с потоками, запускаются непонятно от чего и непонятно в какой последовательности(совершенно не так как идет вызов CreateThread), т.е. совсем не так как я ожидаю, поэтому приходится циклить и ставить бряки на все создаваемые потоки а потом какой из них сработает тот и трассировать, (хотя без отладчика все идет как я ожидаю)в общем заморочливый прот.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m пишет:
получается что ему не нравится присутствие отладчика на компе а не факт его работы
система абсолютно чистая... и все равно дебугер детектет


UPD:
gena-m пишет:
Абсолютно чистая - это и Олли нет и ее плагинов?
ну я же сказал - абсолютно!

| Сообщение посчитали полезным:

Абсолютно чистая - это и Олли нет и ее плагинов?
У меня например Олли с плагинами и борландовский и VS отладчики стоят, хотя сисера и айса нет (но присутствуют дистрибутивы) и непонятно какой отладчик ему не нравится. Пока что я не расковырял этот прот вдоль и поперек - поэтому сложно сказать почему он ругается, но из за этой мессаги, при неработающих отладчиках, я впринципе и начал его ковырять.

Вообщето топик по работе потоков был открыт, а перерос в обсуждение пепы.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m
В некоторых потоках есть просто Sleep в несколько секунд. Ни каких странностей в работе потоков не заметил. Ставлю бряки на вторую комманду, на случай, если прот проверяет EP потока на оппкод 0xCC

-----
Research For Food

| Сообщение посчитали полезным:

У меня получается:
под отладчиком - вначале создается поток по стартовому адресу 29876b20, но не запускается, затем создается поток со стартовым адресом 2989С740 запускается и доходит до Sleep.
без отладчика - создается и запускается поток 29876b20, затем создается и запускается поток 2989e750.
Вот такие "странности" мне не нравятся и я пытаюсь найти причину разного создания и поведения потоков.
Видимо это моя ошибка, что ставил бряки в начало потока, попробую ставить не на начало.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m
Попробуй посмотреть в сторону защитных плагинов- у меня кажется когда-то что-то было похожее,помогла то ли замена отладчика на другую версию,то ли замена плагинов,давно это было уже...

| Сообщение посчитали полезным:

то ли замена отладчика на другую версию,то ли замена плагинов

Да, интересный метод, особенно замена отладчика помогает в выяснении причины.

Спасибо всем, уже кое что накопал.
daFix - отпишусь в личку когда разберусь.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным: