如何从线程ID获取线程名称
展开全部
在一个线程出现异常行为时,比如说CPU占用率过高,抛出异常等,你一定想知道这个线程是由哪个模块创建的。因此无论在哪个操作系统上,获取线程名称是诊断线程相关问题的重要一步。
从线程ID获取线程名称通常的方法是,先获取该线程的入口地址,然后枚举进程内所有已加载模块,最后判断线程入口地址落在哪个加载模块范围内。枚举进程内已加载模块可用Win32标准的CreateToolhelp32Snapshot/Module32First/Module32Next系列ToolHelp API得到。获取线程入口地址则没有线程的Win32 API可用。不过在Windows NT based操作系统上(包括Windows NT 4.0/2000/XP/2003,等),有一个未公开的Native API可用:NtQueryInformationThread。其声明如下:
DWORDWINAPINtQueryInformationThread(
HANDLEThreadHandle,
THREAD_INFORMATION_CLASSThreadInformationClass,
PVOIDThreadInformation,
ULONGThreadInformationLength,
PULONGReturnLength);获取线程入口地址可用:
DWORDGetThreadStartAddress(DWORDdwThreadId){HANDLEhThread=OpenThread(THREAD_ALL_ACCESS,FALSE,dwThreadId);
DWORDretaddr,len,error;retaddr=len=0;error=NtQueryInformationThread(hThread,9,
&retaddr,
sizeof(retaddr),
&len);CloseHandle(hThread);if(error!=0)retaddr=0;returnretaddr;}在Windows CE上就没这么幸运了,没有任何现成的API可用。官方Windows CE Base Team的blog对这个问题的回答是可以用Remote Kernel Tracker,不过这需要你build一个特殊的kernel image,enable一些profiler功能-这在显示的问题诊断中显然是不实际的。那么有没有办法不需要什么特殊的配置就可像Windows桌面操作系统那样获得入口地址呢?有是有的,不过需要一些hack手段。仔细研究CE下的Thread内核数据结构,就会发现Thread结构中有一项是记录线程入口地址的。typedefstructThread{DWORD_1[3];PPROCESSpProc;/*0C:pointertocurrentprocess*/PPROCESSpOwnerProc;/*10:pointertoownerprocess*/DWORD_2[18];DWORDdwStartAddr;/*5c:threadPCatcreation,usedtogetthreadname*/DWORD_3[10];}THREAD,*PTHREAD;/*Thread*/因此要做的就是想办法根据线程ID或handle得到这个数据。再研究,发现线程的Thread内核数据结构可通过句柄得到:PTHREADpTh=HandleToThread(ThreadHandle);
而且,在Windows CE下,线程ID和其handle的值是一样的!!因此我们可以写一个这样的函数从线程ID拿到入口地址:
DWORDGetThreadStartAddress(DWORDdwThreadId){DWORDdwStartAddress=0;BOOLfOldMode=SetKMode(TRUE);PTHREADpTh=HandleToThread((HANDLE)dwThreadId);if(pTh){dwStartAddress=(DWORD)MapPtrToProcess((LPVOID)pTh-dwStartAddr,pTh-pOwnerProc-hProc);}returndwStartAddress;}为了使用这些内核数据结构,我们还需要另外一些辅助结构和函数,比较完整的代码如下。当然,官方肯定是不建议这么做的,但是重要的是解决问题,你说呢。typedefstructProcess{DWORD_1[2];HANDLEhProc;/*08:handleforthisprocess,neededonlyforSC_GetProcFromPtr*/}PROCESS,*PPROCESS;typedefstructThread{DWORD_1[3];PPROCESSpProc;/*0C:pointertocurrentprocess*/PPROCESSpOwnerProc;/*10:pointertoownerprocess*/DWORD_2[18];DWORDdwStartAddr;/*5c:threadPCatcreation,usedtogetthreadname*/DWORD_3[10];}THREAD,*PTHREAD;/*Thread*/typedefstructcinfo{characName[4];/*00:objecttypeIDstring*/uchardisp;/*04:typeofdispatch*/uchartype;/*05:apihandletype*/ushortcMethods;/*06:#ofmethodsindispatchtable*/constPFNVOID*ppfnMethods;/*08:ptrtoarrayofmethods(inserveraddressspace)*/constDWORD*pdwSig;/*0C:ptrtoarrayofmethodsignatures*/PPROCESSpServer;/*10:ptrtoserverprocess*/}CINFO;/*cinfo*/typedefCINFO*PCINFO;typedefstruct_HDATAHDATA,*PHDATA;struct_HDATA{DWORD_1[2];/*00:linksforactivehandlelist*/HANDLEhValue;/*08:Currentvalueofhandle(nonce)*/DWORDlock;/*0C:accessinformation*/DWORDref;/*10:referenceinformation*/constCINFO*pci;/*14:ptrtoobjectclassdescriptionstructure*/PVOIDpvObj;/*18:ptrtoobject*/DWORDdwInfo;/*1C:extrahandleinfo*/};/*20:sizeof(HDATA)*/#ifdefx86structKDataStruct{LPDWORDlpvTls;/*0x000Currentthreadlocalstoragepointer*/HANDLEahSys[NUM_SYS_HANDLES];/*0x004Ifthismoves,changekapi.h*/DWORD_1[4];ulonghandleBase;/*0x094baseaddressofhandletable*/};/*KDataStruct*/#endif#ifdefARMstructKDataStruct{LPDWORDlpvTls;/*0x000Currentthreadlocalstoragepointer*/HANDLEahSys[NUM_SYS_HANDLES];/*0x004Ifthismoves,changekapi.h*/DWORD_1[6];ulonghandleBase;/*0x09chandletablebaseaddress*/};/*KDataStruct*/#endif#defineHandleToThread(h)((THREAD*)GetObjectPtrByType((h),SH_CURTHREAD))#defineHANDLE_ADDRESS_MASK0x1ffffffcvoidh2p(HANDLEh,PHDATA&phdRet){if((ulong)h<NUM_SYS_HANDLES+SYS_HANDLE_BASE&&(ulong)h=SYS_HANDLE_BASE)h=((KDataStruct*)PUserKData)-ahSys[(uint)h-SYS_HANDLE_BASE];if(h){phdRet=(PHDATA)(((ulong)h&HANDLE_ADDRESS_MASK)+((KDataStruct*)PUserKData)-handleBase);if(phdRet-hValue!=h)phdRet=0;}elsephdRet=0;}PVOIDGetObjectPtrByType(HANDLEh,
从线程ID获取线程名称通常的方法是,先获取该线程的入口地址,然后枚举进程内所有已加载模块,最后判断线程入口地址落在哪个加载模块范围内。枚举进程内已加载模块可用Win32标准的CreateToolhelp32Snapshot/Module32First/Module32Next系列ToolHelp API得到。获取线程入口地址则没有线程的Win32 API可用。不过在Windows NT based操作系统上(包括Windows NT 4.0/2000/XP/2003,等),有一个未公开的Native API可用:NtQueryInformationThread。其声明如下:
DWORDWINAPINtQueryInformationThread(
HANDLEThreadHandle,
THREAD_INFORMATION_CLASSThreadInformationClass,
PVOIDThreadInformation,
ULONGThreadInformationLength,
PULONGReturnLength);获取线程入口地址可用:
DWORDGetThreadStartAddress(DWORDdwThreadId){HANDLEhThread=OpenThread(THREAD_ALL_ACCESS,FALSE,dwThreadId);
DWORDretaddr,len,error;retaddr=len=0;error=NtQueryInformationThread(hThread,9,
&retaddr,
sizeof(retaddr),
&len);CloseHandle(hThread);if(error!=0)retaddr=0;returnretaddr;}在Windows CE上就没这么幸运了,没有任何现成的API可用。官方Windows CE Base Team的blog对这个问题的回答是可以用Remote Kernel Tracker,不过这需要你build一个特殊的kernel image,enable一些profiler功能-这在显示的问题诊断中显然是不实际的。那么有没有办法不需要什么特殊的配置就可像Windows桌面操作系统那样获得入口地址呢?有是有的,不过需要一些hack手段。仔细研究CE下的Thread内核数据结构,就会发现Thread结构中有一项是记录线程入口地址的。typedefstructThread{DWORD_1[3];PPROCESSpProc;/*0C:pointertocurrentprocess*/PPROCESSpOwnerProc;/*10:pointertoownerprocess*/DWORD_2[18];DWORDdwStartAddr;/*5c:threadPCatcreation,usedtogetthreadname*/DWORD_3[10];}THREAD,*PTHREAD;/*Thread*/因此要做的就是想办法根据线程ID或handle得到这个数据。再研究,发现线程的Thread内核数据结构可通过句柄得到:PTHREADpTh=HandleToThread(ThreadHandle);
而且,在Windows CE下,线程ID和其handle的值是一样的!!因此我们可以写一个这样的函数从线程ID拿到入口地址:
DWORDGetThreadStartAddress(DWORDdwThreadId){DWORDdwStartAddress=0;BOOLfOldMode=SetKMode(TRUE);PTHREADpTh=HandleToThread((HANDLE)dwThreadId);if(pTh){dwStartAddress=(DWORD)MapPtrToProcess((LPVOID)pTh-dwStartAddr,pTh-pOwnerProc-hProc);}returndwStartAddress;}为了使用这些内核数据结构,我们还需要另外一些辅助结构和函数,比较完整的代码如下。当然,官方肯定是不建议这么做的,但是重要的是解决问题,你说呢。typedefstructProcess{DWORD_1[2];HANDLEhProc;/*08:handleforthisprocess,neededonlyforSC_GetProcFromPtr*/}PROCESS,*PPROCESS;typedefstructThread{DWORD_1[3];PPROCESSpProc;/*0C:pointertocurrentprocess*/PPROCESSpOwnerProc;/*10:pointertoownerprocess*/DWORD_2[18];DWORDdwStartAddr;/*5c:threadPCatcreation,usedtogetthreadname*/DWORD_3[10];}THREAD,*PTHREAD;/*Thread*/typedefstructcinfo{characName[4];/*00:objecttypeIDstring*/uchardisp;/*04:typeofdispatch*/uchartype;/*05:apihandletype*/ushortcMethods;/*06:#ofmethodsindispatchtable*/constPFNVOID*ppfnMethods;/*08:ptrtoarrayofmethods(inserveraddressspace)*/constDWORD*pdwSig;/*0C:ptrtoarrayofmethodsignatures*/PPROCESSpServer;/*10:ptrtoserverprocess*/}CINFO;/*cinfo*/typedefCINFO*PCINFO;typedefstruct_HDATAHDATA,*PHDATA;struct_HDATA{DWORD_1[2];/*00:linksforactivehandlelist*/HANDLEhValue;/*08:Currentvalueofhandle(nonce)*/DWORDlock;/*0C:accessinformation*/DWORDref;/*10:referenceinformation*/constCINFO*pci;/*14:ptrtoobjectclassdescriptionstructure*/PVOIDpvObj;/*18:ptrtoobject*/DWORDdwInfo;/*1C:extrahandleinfo*/};/*20:sizeof(HDATA)*/#ifdefx86structKDataStruct{LPDWORDlpvTls;/*0x000Currentthreadlocalstoragepointer*/HANDLEahSys[NUM_SYS_HANDLES];/*0x004Ifthismoves,changekapi.h*/DWORD_1[4];ulonghandleBase;/*0x094baseaddressofhandletable*/};/*KDataStruct*/#endif#ifdefARMstructKDataStruct{LPDWORDlpvTls;/*0x000Currentthreadlocalstoragepointer*/HANDLEahSys[NUM_SYS_HANDLES];/*0x004Ifthismoves,changekapi.h*/DWORD_1[6];ulonghandleBase;/*0x09chandletablebaseaddress*/};/*KDataStruct*/#endif#defineHandleToThread(h)((THREAD*)GetObjectPtrByType((h),SH_CURTHREAD))#defineHANDLE_ADDRESS_MASK0x1ffffffcvoidh2p(HANDLEh,PHDATA&phdRet){if((ulong)h<NUM_SYS_HANDLES+SYS_HANDLE_BASE&&(ulong)h=SYS_HANDLE_BASE)h=((KDataStruct*)PUserKData)-ahSys[(uint)h-SYS_HANDLE_BASE];if(h){phdRet=(PHDATA)(((ulong)h&HANDLE_ADDRESS_MASK)+((KDataStruct*)PUserKData)-handleBase);if(phdRet-hValue!=h)phdRet=0;}elsephdRet=0;}PVOIDGetObjectPtrByType(HANDLEh,
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
