В ранних версиях можно было получить при помощи

В семерке же перечисление THREADINFOCLASS не содержит ThreadQuerySetWin32StartAddress.
Есть еще

Раньше SYSTEM_PROCESS_INFORMATION содержала массив SYSTEM_THREAD_INFORMATION, из которого как раз можно было достать start address каждого потока. SYSTEM_PROCESS_INFORMATION в семерке уже не тот, SYSTEM_THREAD_INFORMATION вообще убрали.
И как теперь start address добыть?

| Сообщение посчитали полезным:

Правильно что этот инфокласс убрали, бессмысленно его использовать. Можно поток создать из системных модулей(подобно SHCreateThread()), либо использовать системные потоки.

| Сообщение посчитали полезным:

bowrouco, нужно получить start address потока чужого процесса, который может быть создан как угодно, это не важно.

| Сообщение посчитали полезным:

GoldenJoe

И куда же этот инфо класс делся? Совершенно спокойно получил StartAddress только что для текущего потока. Win7, SP1, x86.

Более того MSDN тоже не в курсе ваших изысканий.
http://msdn.microsoft.com/en-us/library/windows/desktop/ms684283(v=vs.85).aspx

If ThreadQuerySetWin32StartAddress is specified for the ThreadInformationClass parameter, this buffer must be large enough to hold a PVOID value, which is the start address of the thread.

bowrouco

Твой бессмысленный поток сознания уже приелся.

| Сообщение посчитали полезным:

Бугага, bowrouco жжет как всегда.

Не забывайте также, что StartAddress и Win32StartAddress это не одно и тоже, и про то, что большинство потоков инициализирует специальная рутина - kernel32!BaseThreadStartThunk (kernel32!BaseProcessStartThunk для первого потока процесса), ntdll!RtlUserThreadStart. И про то, что поле Win32StartAddress может содержать значение LpcReceivedMessageId (до Висты) вместо стартового адреса. И про то, что малвара эти значения может менять. На семерке как раз все более-менее стабильно, в плане получения значения Win32StartAddress, и инфокласс этот работает.

-----
Research is my purpose

| Сообщение посчитали полезным:

Alchemistry

Никаких ThreadQuerySetWin32StartAddress.

| Сообщение посчитали полезным:

Alchemistry
Закрыли его, там заглушка возвращающая STATUS_UNSUCCESSFUL. В W7 и 8 одинаково, я смотрел ядро. Сейчас некогда, позже точно посмотрю.

| Сообщение посчитали полезным:

bowrouco пишет:
Закрыли его, там заглушка возвращающая STATUS_UNSUCCESSFUL. В W7 и 8 одинаково, я смотрел ядро. Сейчас некогда, позже точно посмотрю.

Видимо влом признать что ты неправ, ага? Закрыли так, что возвращает корректное значение, пишет правильное количество returned bytes и выдает STATUS_SUCCESS. Неплохо так закрыли - табличка сарказм.

И да, W8 да, это конечно мега показатель. Оно даже не бета, а DevPreview, а ты уже решил, что все так и будет в релизе. Ну-ну, повеселил.

GoldenJoe

Выкиньте это описание из документации и используйте старые из символов, например. Все новые значения практически всегда добавляются в конец перечислений. Никто ломать старое не будет никогда, пока жива сама архитектура.

| Сообщение посчитали полезным:

Ничего там не закрыли все работает как надо. Все как Error_Log написал.

| Сообщение посчитали полезным:

GoldenJoe
Наместе поля,да и куда они денутся.
Не в одной софтверной компание некогда не будут кординально менять код на который уже затратились,максимум рефакторинг.

| Сообщение посчитали полезным:

Описание не из документации, а из winternl.h. Как это выкинуть? Свою SYSTEM_THREAD_INFORMATION объявить чтоли?

| Сообщение посчитали полезным:

GoldenJoe пишет:
Свою SYSTEM_THREAD_INFORMATION объявить чтоли?
Ну объяви, в чем проблема то? Наверное и студийный файл пофиксить можно.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Объявил, вроде работает, и правда не убрали. Всем спасибо, тема закрыта.

| Сообщение посчитали полезным: