Я пытаюсь найти определенное целое число, сохраненное в другом процессе, сканируя его память.Я перечисляю его потоки и хочу найти базовый адрес потока, чтобы я мог начать поиск побайтного целого значения.Я не уверен насчет осуществимости этой стратегии, поскольку где-то читал, что это может быть не «реальный» адрес стека.
Я немного покопался и нашел (запрещенный) NtQueryInformationThread в недокументированном разделеMSDN.Я понимаю, что это нестабильно и устарело, но в небольшой информации, которую я собрал, это кажется единственным "простым" способом.Любые другие подходы приветствуются!
NTSTATUS queryThread = NtQueryInformationThread(hThread, (THREADINFOCLASS)ThreadQuerySetWin32StartAddress, &startAddress, sizeof(startAddress), sizeRequested);
Моя проблема в том, что когда я указываю ThreadQuerySetWin32StartAddress, я всегда получаю предупреждение о том, что ThreadQuerySetWin32StartAddress не определен.На другом форуме я видел, как пользователь определил его как «9».Если кто-нибудь может уточнить, спасибо!