我试图通过扫描内存来搜索存储在另一个进程中的特定整数值。我枚举了它的线程,并且我想找到线程的基地址,以便可以逐字节搜索整数值。我不确定这种策略的可行性,因为我在某处读到它可能不是“真正的”堆栈地址。
我进行了一些挖掘,在msdn的未记录部分中找到了一个(禁止的)NtQueryInformationThread。我知道它是不稳定和过时的,但是在我收集的少量信息中,这似乎是唯一的“简单”方法。任何其他方法都将受到欢迎!
NTSTATUS queryThread = NtQueryInformationThread(hThread, (THREADINFOCLASS)ThreadQuerySetWin32StartAddress, &startAddress, sizeof(startAddress), sizeRequested);
我的问题是,当我指定ThreadQuerySetWin32StartAddress时,总是收到警告,提示ThreadQuerySetWin32StartAddress未定义。在另一个论坛中,我看到一个用户将其定义为“ 9”。如果有人可以详细说明,谢谢!