Zitat von
peanut:
Wie komme ich an kernel32!BaseThreadStart, wenn ich den Thread nicht selbst erzeugt habe.
Wozu brauchst du die Adresse eines internen Wrappers?
Zitat von
peanut:
Ich denke da vor allem an CreateRemoteThread()! In meiner Anwendung soll dies möglichst frühzeitig erkannt werden.
Schreibe eine
DLL und reagiere auf neue Threads.
Zitat von
peanut:
Dummerweise funktioniert CreateRemoteThread auch in Gast-Zugängen auf allen Prozessen, die mit diesen Rechten laufen.
Kann man das irgendwie unterbinden
Ändere die Sicherheitsbeschreibung deines Prozesses.