RT
我在线程启动之前HOOK
目前可以保证这个线程在Resume之前我可以进行操作
我执行PsGetContextThread 获取CONTEXT
按理说EAX应该就是线程执行的起始点了。
但是我DBGPRINT 输出的eax是0x8..........
何解?
我刚才又测试了一下 看了下返回的NTSTATUS 是 C0000005 STATUS_ACCESS_VIOLATION
难道是需要初始化一下CONTEXT结构么?
/***********PS:这个问题解决了。。。
还有就是PsSetContextThread没有导出
这个函数不在Ntdll里面,怎么获取这个函数捏?
*************/
PS:环境 WIN7SP1
:eek:
我在线程启动之前HOOK
目前可以保证这个线程在Resume之前我可以进行操作
我执行PsGetContextThread 获取CONTEXT
按理说EAX应该就是线程执行的起始点了。
但是我DBGPRINT 输出的eax是0x8..........
何解?
我刚才又测试了一下 看了下返回的NTSTATUS 是 C0000005 STATUS_ACCESS_VIOLATION
难道是需要初始化一下CONTEXT结构么?
/***********PS:这个问题解决了。。。
还有就是PsSetContextThread没有导出
这个函数不在Ntdll里面,怎么获取这个函数捏?
*************/
PS:环境 WIN7SP1
:eek: