存档

文章标签 ‘TThread’

逆向分析中快速定位Delphi TThread线程函数代码

2012年7月12日 2 条评论

Delphi中对线程的操作封装了一个TThread类,没接触过Delphi的人来说跟踪线程函数毫无头绪,即便是对CreateThread函数下断点,依然会遇到层层包装。

TThread是个抽象类,有个Execute的抽象方法。使用时需要自己派生出一个新类,并重载Execute方法,也就是Delphi的线程函数了。网上似乎也没有文章介绍如何跟踪Delphi线程函数,本人经过测试找到了一个看上去似乎很不错的快速定位方法。下面介绍本人的方法:

(1)在IDA的Functions Window中单击标题栏Function Name对函数名进行排序,然后就可以快速找到Classes::TThread:DoTerminate(void),双击来到函数;[......]