Форум: "WinAPI";
Текущий архив: 2004.09.26;
Скачать: [xml.tar.bz2];
Вниз
Как отличить поток ? Найти похожие ветки
← →
TPotokShell (2004-08-11 12:31) [0]Уважаемые Мастера, как отличить "родной" поток (Thread) приложения, от "неродного" - созданного в нём с помощью CreateRemoteThread ?
Заранее спасибо .
← →
Мастер © (2004-08-11 12:37) [1]Ну вообще-то твое приложение должно знать, что творится с потоками внутри него.
← →
TPotokShell (2004-08-11 12:42) [2]Мастер © (11.08.04 12:37) [1]
оно "хочет узнать" - но как ?
← →
Игорь Шевченко © (2004-08-11 12:52) [3]
> Уважаемые Мастера, как отличить "родной" поток (Thread)
> приложения, от "неродного" - созданного в нём с помощью
> CreateRemoteThread ?
Надо понимать, что это для NT-систем ? Так как CreateRemoteThread работает там.
Тогда, NTQueryQuerySystemInformation (ProcessesAndThreads, ...),
узнать, сколько потоков у процесса, сравнить с тем, что должно быть и бить тревогу, если не совпадает
← →
Мастер © (2004-08-11 13:15) [4]>TPotokShell (11.08.04 12:42) [2]
оно "хочет узнать" - но как ?
1. если тебе неизвестно, как получить количество потоков, то см. Игорь Шевченко © (11.08.04 12:52) [3]
2. Если тебе нужно идентифицировать "свои" потоки и "чужие", то "свои" ты в любом случае должен знать заранее. Ведь как-то ты эти потоки создаешь?
Если используешь WinApi32, то это CreateTread, если VCL, то TTHread.
В любом случае ты точно должен знать "свои" потоки, т.е. вести учет.
← →
TPotokShell (2004-08-11 13:19) [5]Игорь Шевченко © (11.08.04 12:52) [3]
спасибо :)
но как узнать, сколько должно быть их например у сторонненго приложения ? (например експлорера ?)
← →
TPotokShell (2004-08-11 13:19) [6]и можно ли как-нить по самому потоку узнать, "настоящий" ли он ?
← →
Игорь Шевченко © (2004-08-11 13:23) [7]
> но как узнать, сколько должно быть их например у сторонненго
> приложения ? (например експлорера ?)
Запустить Process Explorer от www.sysinternals.com, вдумчиво смотреть на адреса старта потоков.
← →
TPotokShell (2004-08-11 13:32) [8]Игорь Шевченко © (11.08.04 13:23) [7]
а какой адрес старта должен быть у "родного" потока ?
← →
Игорь Шевченко © (2004-08-11 13:40) [9]
> а какой адрес старта должен быть у "родного" потока ?
А запустить на нормальной системе и посмотреть не судьба ?
← →
Digitman © (2004-08-11 14:05) [10]
> TPotokShell
ты что, вознамерился "пасти" чужие потоки в своем процессе и "прибивать" их при обнаружении ?
схлопочешь кучу проблем !
следует пресекать не работу "чужого" трэда, а попытку его старта !
← →
TPotokShell (2004-08-11 20:47) [11]Digitman © (11.08.04 14:05) [10]
//следует пресекать не работу "чужого" трэда, а попытку его старта !
а такое возможно ? как ?
← →
Digitman © (2004-08-12 08:17) [12]
> TPotokShell
"кто предупрежден, тот вооружен"
самое простое - действуй теми же методами)
внедряй в АП всех потенциально опасных с этой т.з. процессов свой трэд, который перехватит вызов CreateRemoteThread()
Страницы: 1 вся ветка
Форум: "WinAPI";
Текущий архив: 2004.09.26;
Скачать: [xml.tar.bz2];
Память: 0.47 MB
Время: 0.033 c
