断在被XX进去的线程起点处

2009-11-27 Nie.Meining Debug

需要监控指定进程中每个ring3线程的创建,包括被别的进程CreateRemoteThread进去的。并且不能注册线程创建的回调函数
WinDbg了一阵,解决方案如下:
断在nt!PspUserThread处,然后读[fs:[0x124]+0x228],即ETHREAD->Win32StartAddress

发表评论:

Powered by emlog