Hallo,

ich möchte gerne alle Threads eines gegebenen Prozesses auswerten.
Gibt es eine API-Funktion, mit der ich mir die Basisadresse eines
Threads anzeigen lassen kann um z.B. zu überprüfen, wo der Code
des Threads im Speicher liegt?

Ich habe bereits versucht, dies mittels debugging zu lösen. Doch
die dort erhaltenen TDebugEvent.CreateThread.lpStartAddress zeigt
immer auf eine IMAGE_SCN_MEM_EXECUTE Section der kernel32.dll?

Das finde ich sehr komisch, da Threads doch eigentlich im Prozess-
speicher der Anwendung laufen sollten. Müsste ich demenstsprechend
nicht in einer als IMAGE_SCN_MEM_EXECUTE markierten Section
meines Prozesses landen?

Für Hilfe bin ich sehr dankbar.

Viele Grüße

peanut.

Zitat von peanut:

Ich habe bereits versucht, dies mittels debugging zu lösen. Doch
die dort erhaltenen TDebugEvent.CreateThread.lpStartAddress zeigt
immer auf eine IMAGE_SCN_MEM_EXECUTE Section der kernel32.dll?

Die Startadresse der mit kernel32!CreateThread erzeugten Threads ist kernel32!BaseThreadStart (Wrapper-Funktion die die eigentliche Thread-Funktion aufruft).

ps: siehe http://www.microsoft.com/msj/0799/Win32/Win320799.aspx

Zitat von NicoDE:

Die Startadresse der mit kernel32!CreateThread erzeugten Threads ist kernel32!BaseThreadStart (Wrapper-Funktion die die eigentliche Thread-Funktion aufruft).

Wie komme ich an kernel32!BaseThreadStart, wenn ich den Thread nicht selbst erzeugt habe. Ich denke da vor allem an CreateRemoteThread()! In meiner Anwendung soll dies möglichst frühzeitig erkannt werden.

Dummerweise funktioniert CreateRemoteThread auch in Gast-Zugängen auf allen Prozessen, die mit diesen Rechten laufen. Kann man das irgendwie unterbinden - das scheint mir beinahe leichter zu sein als mit den Threads zu pfuschen...

Zitat von peanut:

Wie komme ich an kernel32!BaseThreadStart, wenn ich den Thread nicht selbst erzeugt habe.

Wozu brauchst du die Adresse eines internen Wrappers?

Zitat von peanut:

Ich denke da vor allem an CreateRemoteThread()! In meiner Anwendung soll dies möglichst frühzeitig erkannt werden.

Schreibe eine DLL und reagiere auf neue Threads.

Zitat von peanut:

Dummerweise funktioniert CreateRemoteThread auch in Gast-Zugängen auf allen Prozessen, die mit diesen Rechten laufen. Kann man das irgendwie unterbinden

Ändere die Sicherheitsbeschreibung deines Prozesses.

Zitat von NicoDE:

Zitat von peanut:

Wie komme ich an kernel32!BaseThreadStart, wenn ich den Thread nicht selbst erzeugt habe.

Wozu brauchst du die Adresse eines internen Wrappers?

Ich habe mich dumm ausgedrückt, ich wollte eigentlich an den ThreadContext um so vielleicht an die Adresse des Threads zu kommen - über ebp-Register? Das sollte ich mir aber lieber aus dem Kopf schlagen...

Zitat von NicoDE:

Zitat von peanut:

Ich denke da vor allem an CreateRemoteThread()! In meiner Anwendung soll dies möglichst frühzeitig erkannt werden.

Schreibe eine DLL und reagiere auf neue Threads.

Wie kann ich in einer DLL erkennen ob ein Thread in der Anwendung erzeugt wird? Ich bekomme dort doch nur Nachrichten mit, die die DLL betreffen oder kann man dort auch erfahren, wo ein neuer Thread im Speicher liegt?

Zitat von NicoDE:

Zitat von peanut:

Dummerweise funktioniert CreateRemoteThread auch in Gast-Zugängen auf allen Prozessen, die mit diesen Rechten laufen. Kann man das irgendwie unterbinden

Ändere die Sicherheitsbeschreibung deines Prozesses.

Wie kann man die Sicherheitsbeschreibung ändern?

Zitat von peanut:

Wie kann ich in einer DLL erkennen ob ein Thread in der Anwendung erzeugt wird?

Du kannst in deiner LibraryProc auf DLL_THREAD_ATTACH/DLL_THREAD_DETACH reagieren (setz voraus, dass in deiner DLL die Funktion DisableThreadLibraryCalls() nicht aufgerufen wurde).

Zitat von peanut:

Ich bekomme dort doch nur Nachrichten mit, die die DLL betreffen oder kann man dort auch erfahren, wo ein neuer Thread im Speicher liegt?

Du wirst nur informiert, dass ein Thread erzeugt oder beendet wurde. Die restliche Logik musst du schon selbst implementieren.
(kleiner Tipp: in TThreadEntry32.th32OwnerProcessID steht wahrscheinlich das was du suchst)

Zitat von peanut:

Wie kann man die Sicherheitsbeschreibung ändern?

Zum Beispiel mit SetSecurityInfo.

Vielen Dank NicoDE für die Hinweise - ich muss noch einiges lernen...

Zitat von NicoDE:

Zitat von peanut:

Ich bekomme dort doch nur Nachrichten mit, die die DLL betreffen oder kann man dort auch erfahren, wo ein neuer Thread im Speicher liegt?

Du wirst nur informiert, dass ein Thread erzeugt oder beendet wurde. Die restliche Logik musst du schon selbst implementieren.
(kleiner Tipp: in TThreadEntry32.th32OwnerProcessID steht wahrscheinlich das was du suchst)

Das habe ich versucht, leider enthält TThreadEntry32.th32OwnerProcessID immer die ProzessID der Anwendung, in der ein solcher Thread ausgeführt wird - irgendwie ist das ja auch logisch, denn über CreateRemoteThread wird eine ThreadProc im anderen Prozess aufgerufen => muss dann auch dessen ProzessID sein.

Die einzige Information die man eventluell auswerten könnte wäre die ThreadID. Ich frage mich bloß, wie man von dieser ausgehend an den Speicherbereich kommt, in dem der ausführbare Code des Threads steht?

Hab`s hinbekommen.... GetThreadContext(). In EAX steht die Startadresse des Threads drin. Klappt aber nur, wenn man den Prozess debuggt. Ich muss noch testen, ob das auch über eine DLL mit DLL_THREAD_ATTACH funktioniert, denn das wäre leichter.