CE中的“THREADSTACK0”的地址获取

dnxl

CE扫描地址经常会出现"THREADSTACK0"-XXXX  "THREADSTACK1"-XXXX这种格式的基址，以前没怎么在意，因为大部分进程都可以找到模块+偏移
最新遇上一个扫不到模块的进程，扫到的全是这种格式，就有一个自己把这个“THREADSTACK”转换成地址的想法。

怎么把THREADSTACK0转换成0X127FD88呢，

百度了一圈这玩意没找到什么有用的信息，只有一二个几年前别人问题过的此类问题，没有看到满意答案，只能靠自己了。

看字面意思“THREADSTACK"就是线程栈，我的理解0表示进程的第一个线程，也就是主线程，1表示第二个线程，大体上知道它是个啥玩意就好办。
继续百度线程环境块

看到NT_TIB.StackBase我以为它就是这玩意，结果觉在意料之外，它跟这个数值总是差了那么一点，突然想到我手上有某版CE的源码，就试着去找找

可以看到这个栈地址是通个GetStackStar这个函数去获取，然后去找它这个函数

function GetStackStart(threadnr: integer=0): ptruint;
var
  c: tcontext;    //do not move, or be sure it's on a proper alignment
  tbi: THREAD_BASIC_INFORMATION;
  stacktop: ptruint;
  x: PtrUInt;
  h: thandle;
  ths: thandle;
  te32: TThreadEntry32;
  i: integer;
  ldtentry: TLDTENTRY;
  mi: TModuleInfo;
  buf: pointer;
  buf32: PDwordArray absolute buf;
  buf64: PQWordArray absolute buf;
//gets the stack base of the main thread, then checks where the "exitThread" entry is located and uses that -pointersize as the stackbase
begin
  result:=0;
  //get the first thread of this process
  if symhandler.getmodulebyname('kernel32.dll', mi)=false then
  begin
    symhandler.loadmodulelist;
    if symhandler.getmodulebyname('kernel32.dll', mi)=false then
      exit;
  end;
  ths:=CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0);
  if ths<>INVALID_HANDLE_VALUE then
  begin
    zeromemory(@te32,sizeof(te32));
    te32.dwSize:=sizeof(te32);
    if Thread32First(ths, te32) then
    repeat
      if te32.th32OwnerProcessID=processid then
      begin
        //found a thread
        if threadnr=0 then //is it the one I want ?
        begin
          h:=OpenThread(THREAD_QUERY_INFORMATION or THREAD_GET_CONTEXT, false, te32.th32ThreadID);
          if (h<>0) then
          begin
            stacktop:=0;
            if processhandler.is64Bit then
            begin
              x:=0;
              i:=NtQueryInformationThread(h, ThreadBasicInformation, @tbi, sizeof(tbi), @x);
              if i=0 then
                ReadProcessMemory(processhandle, pointer(ptruint(tbi.TebBaseAddress)+8), @stacktop, 8, x);
            end
            else
            begin
              zeromemory(@c,sizeof(c));
              c.ContextFlags:=CONTEXT_SEGMENTS;
              if GetThreadContext(h, c) then
              begin
                if GetThreadSelectorEntry(h, c.segFs, ldtentry) then
                  ReadProcessMemory(processhandle, pointer(ptruint(ldtentry.BaseLow+ldtentry.HighWord.Bytes.BaseMid shl 16+ldtentry.HighWord.Bytes.BaseHi shl 24)+4), @stacktop, 4, x);
              end;
            end;
            closehandle(h);
            if stacktop<>0 then
            begin
              //find the stack entry pointing to the function that calls "ExitXXXXXThread"
              //Fun thing to note: It's the first entry that points to a address in kernel32
              getmem(buf,4096);
              if ReadProcessMemory(processhandle, pointer(stacktop-4096), buf, 4096, x) then
              begin
                if processhandler.is64Bit then
                begin
                  for i:=(4096 div 8)-1 downto 0 do
                    if inrangeq(buf64, mi.baseaddress, mi.baseaddress+mi.basesize) then
                    begin
                      result:=stacktop-4096+i*8;
                      break;
                    end;
                end
                else
                begin
                  for i:=(4096 div 4)-1 downto 0 do
                    if inrangeq(buf32, mi.baseaddress, mi.baseaddress+mi.basesize) then
                    begin
                      result:=stacktop-4096+i*4;
                      break;
                    end;
                end;
              end;
              freemem(buf);
            end;
          end;
          break;
        end;
        dec(threadnr);
      end;
    luntil Thread32Next(ths, te32)=false;
    closehandle(ths);
  end;
end;

开始有点不明白if symhandler.getmodulebyname('kernel32.dll', mi)=false then，这东西跟kernel32.dll有什么关系，再看下看它确实是取了NT_TIB.StackBase  ReadProcessMemory(processhandle, pointer(ptruint(tbi.TebBaseAddress)+8), @stacktop, 8, x);
再往下看，它还取了NT_TIB.StackBase之前4KB的数据去跟kernel32的模块地址对比。。。。。。正郁闷的时候突然看到CE上的数据，回到第一张图，它每个线程栈指针都指向了同一个地方0X7FFC2AB87BD4，去看看这是何方妖物，


再看看32位进程指向的0X75E76340

至此终于把它这个代码看明白了
CreateToolhelp32Snapshot遍历线程
NtQueryInformationThread 的0号功能取TEB信息
通过TebBaseAddress得到StackBase
再遍历StackBase-4096 到StackBase地方，如果有地址指向kernel32模块，那这个地址就是它的THREADSTACK
跟居这个方法可以读跟CE一模一样的数据

这是explorer的线程，图1上也是explorer的前三个线程，栈地址是不是一模一样

baitso

拂晓的路西法

还是完全不明白易语言该怎么写

落Ye知秋

直接在CE中手动添加地址 THREADSTACK0-xxx  注意是整体没偏移  点击确定 他的模块jz就出来了 地址栏的是模块jz

sswowo

请问易语言有现成的源码或者模块吗？ 小白来说太难了

sswowo

易语言中如何编码获得这个地址呢 求代码

黑哥论贱

大佬中的 大佬

oiowwk

多谢分享 点赞

bbox

非常好的文章,感谢分享.

猩火燎原