BaseAddress aller Threads einer Anwendung bestimmen
 

Hallo,

ich möchte gerne alle Threads eines gegebenen Prozesses auswerten.
Gibt es eine API-Funktion, mit der ich mir die Basisadresse eines
Threads anzeigen lassen kann um z.B. zu überprüfen, wo der Code
des Threads im Speicher liegt?

Ich habe bereits versucht, dies mittels debugging zu lösen. Doch
die dort erhaltenen TDebugEvent.CreateThread.lpStartAddress zeigt
immer auf eine IMAGE_SCN_MEM_EXECUTE Section der kernel32.dll?

Das finde ich sehr komisch, da Threads doch eigentlich im Prozess-
speicher der Anwendung laufen sollten. Müsste ich demenstsprechend
nicht in einer als IMAGE_SCN_MEM_EXECUTE markierten Section
meines Prozesses landen?

Für Hilfe bin ich sehr dankbar.

Viele Grüße

peanut.

Re: BaseAddress aller Threads einer Anwendung bestimmen
 

Die Startadresse der mit kernel32!CreateThread erzeugten Threads ist kernel32!BaseThreadStart (Wrapper-Funktion die die eigentliche Thread-Funktion aufruft).

ps: siehe http://www.microsoft.com/msj/0799/Win32/Win320799.aspx

Re: BaseAddress aller Threads einer Anwendung bestimmen
 

Wie komme ich an kernel32!BaseThreadStart, wenn ich den Thread nicht selbst erzeugt habe. Ich denke da vor allem an CreateRemoteThread()! In meiner Anwendung soll dies möglichst frühzeitig erkannt werden.

Dummerweise funktioniert CreateRemoteThread auch in Gast-Zugängen auf allen Prozessen, die mit diesen Rechten laufen. :shock: Kann man das irgendwie unterbinden - das scheint mir beinahe leichter zu sein als mit den Threads zu pfuschen...

Re: BaseAddress aller Threads einer Anwendung bestimmen
 

Wozu brauchst du die Adresse eines internen Wrappers?

Schreibe eine DLL und reagiere auf neue Threads.

Ändere die Sicherheitsbeschreibung deines Prozesses.

Re: BaseAddress aller Threads einer Anwendung bestimmen
 

Ich habe mich dumm ausgedrückt, ich wollte eigentlich an den ThreadContext um so vielleicht an die Adresse des Threads zu kommen - über ebp-Register? Das sollte ich mir aber lieber aus dem Kopf schlagen... :wall:

Wie kann ich in einer DLL erkennen ob ein Thread in der Anwendung erzeugt wird? Ich bekomme dort doch nur Nachrichten mit, die die DLL betreffen oder kann man dort auch erfahren, wo ein neuer Thread im Speicher liegt?

Wie kann man die Sicherheitsbeschreibung ändern?

Re: BaseAddress aller Threads einer Anwendung bestimmen
 

Du kannst in deiner LibraryProc auf DLL_THREAD_ATTACH/DLL_THREAD_DETACH reagieren (setz voraus, dass in deiner DLL die Funktion DisableThreadLibraryCalls() nicht aufgerufen wurde).

Du wirst nur informiert, dass ein Thread erzeugt oder beendet wurde. Die restliche Logik musst du schon selbst implementieren.
(kleiner Tipp: in TThreadEntry32.th32OwnerProcessID steht wahrscheinlich das was du suchst)

Zum Beispiel mit SetSecurityInfo.

Re: BaseAddress aller Threads einer Anwendung bestimmen
 

Vielen Dank NicoDE für die Hinweise :-D :-D - ich muss noch einiges lernen...

Re: BaseAddress aller Threads einer Anwendung bestimmen
 

Das habe ich versucht, leider enthält TThreadEntry32.th32OwnerProcessID immer die ProzessID der Anwendung, in der ein solcher Thread ausgeführt wird - irgendwie ist das ja auch logisch, denn über CreateRemoteThread wird eine ThreadProc im anderen Prozess aufgerufen => muss dann auch dessen ProzessID sein.

Die einzige Information die man eventluell auswerten könnte wäre die ThreadID. Ich frage mich bloß, wie man von dieser ausgehend an den Speicherbereich kommt, in dem der ausführbare Code des Threads steht?

Re: BaseAddress aller Threads einer Anwendung bestimmen
 

Hab`s hinbekommen.... GetThreadContext(). In EAX steht die Startadresse des Threads drin. Klappt aber nur, wenn man den Prozess debuggt. Ich muss noch testen, ob das auch über eine DLL mit DLL_THREAD_ATTACH funktioniert, denn das wäre leichter.