如何像冰刃一样枚举驱动模块创建的线程?
RT.
[解决办法]
PsCreateSystemThread->PspCreateThread会把StartRoutine记录在Thread->StartAddress里面,所以枚举线程时比较这个值是否位于某个驱动程序映像的区域
发布时间: 2012-05-13 16:39:43 作者: rapoo
如何像冰刃一样枚举驱动模块创建的线程?
RT.
[解决办法]
PsCreateSystemThread->PspCreateThread会把StartRoutine记录在Thread->StartAddress里面,所以枚举线程时比较这个值是否位于某个驱动程序映像的区域