标签: windows multithreading winapi
Intuition告诉我有一些方法可以在Windows线程上查看堆栈并知道给定的线程是通过CreateRemoteThread还是CreateThread启动的。
我的直觉是否接近正确?有没有办法知道?
这个问题的动机是我正在查看崩溃的小型转储,在RWX虚拟内存中看到带有线程起始地址的线程,通过CreateRemoteThread指示dll注入。这是我喜欢确认的一件事。