当前位置：文江博客话题详情

查找另一个线程的线程信息块

发布于 2024-11-06 07:54:18 字数 121 浏览 0 评论 0原文

有没有办法找到进程中运行的另一个线程的线程信息块（TIB）？

我需要为另一个线程构造一个异常处理程序，但我无法在线程本身中执行此操作。因此我需要找到它的 TIB 并从另一个线程内部构造它。我怎样才能实现这个目标？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

懒的傷心 2024-11-13 07:54:18

您可以直接从 FS 寄存器访问 TIB 的地址（检查 http://www. microsoft.com/msj/archive/S2CE.aspx）。
因此，要获取另一个线程的 TIB，也许可以使用 GetThreadContext() 来获取 FS 的值，从而获取 TIB 的地址？（只是猜测，我没有尝试过！）

回复收藏 0 原文

看春风乍起 2024-11-13 07:54:18

void PrintTibAddress(DWORD thread_id) {
  HANDLE thread_handle = OpenThread(THREAD_GET_CONTEXT | THREAD_QUERY_INFORMATION, FALSE, thread_id);
  if (thread_handle == NULL) return;

  SuspendThread(thread_handle);

  CONTEXT context;
  context.ContextFlags = CONTEXT_SEGMENTS;
  if (!GetThreadContext(thread_handle, &context)) {
    CloseHandle(thread_handle);
    return;
  }

  LDT_ENTRY ldtSel;
  if (!GetThreadSelectorEntry(thread_handle, context.SegFs, &ldtSel)) return;

  ResumeThread(thread_handle);

  DWORD fs_base = (ldtSel.HighWord.Bits.BaseHi << 24 ) | ( ldtSel.HighWord.Bits.BaseMid << 16 ) | ( ldtSel.BaseLow );
  fwprintf(stdout, L"[i] FS:[0] (TIB) is @ 0x%08X\n", fs_base);
}

参考文献：

http://recxltd.blogspot.de /2012/02/from-archives-printing-seh-chain-from.html
http://msdn.microsoft.com/en-us/library/windows/desktop/ms679362(v=vs.85).aspx

完整示例程序：http://pastebin.com/gSTcPz1y

void PrintTibAddress(DWORD thread_id) {
  HANDLE thread_handle = OpenThread(THREAD_GET_CONTEXT | THREAD_QUERY_INFORMATION, FALSE, thread_id);
  if (thread_handle == NULL) return;

  SuspendThread(thread_handle);

  CONTEXT context;
  context.ContextFlags = CONTEXT_SEGMENTS;
  if (!GetThreadContext(thread_handle, &context)) {
    CloseHandle(thread_handle);
    return;
  }

  LDT_ENTRY ldtSel;
  if (!GetThreadSelectorEntry(thread_handle, context.SegFs, &ldtSel)) return;

  ResumeThread(thread_handle);

  DWORD fs_base = (ldtSel.HighWord.Bits.BaseHi << 24 ) | ( ldtSel.HighWord.Bits.BaseMid << 16 ) | ( ldtSel.BaseLow );
  fwprintf(stdout, L"[i] FS:[0] (TIB) is @ 0x%08X\n", fs_base);
}

References:

http://recxltd.blogspot.de/2012/02/from-archives-printing-seh-chain-from.html
http://msdn.microsoft.com/en-us/library/windows/desktop/ms679362(v=vs.85).aspx

Complete sample program: http://pastebin.com/gSTcPz1y

回复收藏 0 原文

残花月 2024-11-13 07:54:18

这可能不起作用，但请尝试对用户模式 APC 进行排队到设置异常处理程序的目标线程。

回复收藏 0 原文

花开柳相依 2024-11-13 07:54:18

您可以获得线程的 TIB，但更改它我非常怀疑您是否可以做到。

正如 Paul 正确指出的那样，这只会获取它所使用的线程的 TIB，因此我建议在需要此数据的线程中调用它，然后将其移动到需要使用它的线程。

要获得它，您可以使用类似的东西，如此处所述：

// Microsoft C
void *getTib()
{
    void *pTib;
    __asm {
        mov EAX, FS:[0x18]
        mov [pTib], EAX
    }
    return pTib;
}

You can get the TIB of a thread, but altering it I doubt very much you can do.

As correctly pointed out by Paul, this only gets the TIB for the thread it's used it, so I suggest calling it in the thread from which you need this data and then moving it to the thread where you need to use it.

To get it you can use something like this, described here:

// Microsoft C
void *getTib()
{
    void *pTib;
    __asm {
        mov EAX, FS:[0x18]
        mov [pTib], EAX
    }
    return pTib;
}

回复收藏 0 原文

~没有更多了~

关于作者

烟雨扶苏

暂无简介

0 文章

0 评论

22 人气

关注发私信

友情链接

文江博客

查找另一个线程的线程信息块

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（4）

关于作者

相关话题

热门标签

推荐作者

1CH1MKgiKxn9p

ゞ记忆︶ㄣ

JackDx

信远

yaoduoduo1995

霞映澄塘

友情链接

查找另一个线程的线程信息块

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（4）

关于作者

相关话题

热门标签

推荐作者

1CH1MKgiKxn9p

ゞ记忆︶ㄣ

JackDx

信远

yaoduoduo1995

霞映澄塘

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。