Zitat von
NicoDE:
Die Startadresse der mit kernel32!CreateThread erzeugten Threads ist kernel32!BaseThreadStart (Wrapper-Funktion die die eigentliche Thread-Funktion aufruft).
Wie komme ich an kernel32!BaseThreadStart, wenn ich den Thread nicht selbst erzeugt habe. Ich denke da vor allem an CreateRemoteThread()! In meiner Anwendung soll dies möglichst frühzeitig erkannt werden.
Dummerweise funktioniert CreateRemoteThread auch in Gast-Zugängen auf allen Prozessen, die mit diesen Rechten laufen.
Kann man das irgendwie unterbinden - das scheint mir beinahe leichter zu sein als mit den Threads zu pfuschen...