Zitat von
peanut:
Ich habe bereits versucht, dies mittels debugging zu lösen. Doch
die dort erhaltenen TDebugEvent.CreateThread.lpStartAddress zeigt
immer auf eine IMAGE_SCN_MEM_EXECUTE Section der kernel32.dll?
Die Startadresse der mit kernel32!CreateThread erzeugten Threads ist kernel32!BaseThreadStart (Wrapper-Funktion die die eigentliche Thread-Funktion aufruft).
ps: siehe
http://www.microsoft.com/msj/0799/Win32/Win320799.aspx