Windows线程的上下文结构体（线程本质）

原创

Lee_1985 2020-12-23 13:29:32 博主文章分类：操作系统 ©著作权

文章标签 线程上下文结构体 windows 文章分类 C/C++ 后端开发

©著作权归作者所有：来自51CTO博客作者Lee_1985的原创作品，请联系作者获取转载授权，否则将追究法律责任

Windows线程的上下文结构体，struct _CONTEXT结构是与CPU有关的，特定的CPU对应着特定的CONTEXT结构。

线程上下文结构体

x86类型CPU对应的CONTEXT结构文档如下：

typedef struct _CONTEXT {
    DWORD ContextFlags; //在查询的时候需要设置该字段，表示查询哪些其他的CONTEXT结构字段。

	//调试寄存器组
    DWORD   Dr0;
    DWORD   Dr1;
    DWORD   Dr2;
    DWORD   Dr3;
    DWORD   Dr6;
    DWORD   Dr7;

    FLOATING_SAVE_AREA FloatSave; //浮点寄存器
 
	//段寄存器组
    DWORD   SegGs;
    DWORD   SegFs;
    DWORD   SegEs;
    DWORD   SegDs;

    //通用数据寄存器（整型寄存器）组
    DWORD   Edi;
    DWORD   Esi;
    DWORD   Ebx;
    DWORD   Edx;
    DWORD   Ecx;
    DWORD   Eax;

	//控制寄存器组——比如CS、BP、SP之类的保存基址指针和堆栈指针、程序计数器
    DWORD   Ebp;
    DWORD   Eip;
    DWORD   SegCs;              // MUST BE SANITIZED
    DWORD   EFlags;             // MUST BE SANITIZED
    DWORD   Esp;
    DWORD   SegSs;

    BYTE    ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION]; //扩展寄存器组
} CONTEXT;

获取和设置线程上下文结构体

获取CONTEXT，必须先挂起线程（使用API：SuspendThread），否则取到的CONTEXT无意义。然后通过API：GetThreadContext获取线程CONTEXT。

代码片段：
CONTEXT Context;
SuspendThread(hThread);//挂起线程
Context.ContextFlags = CONTEXT_CONTROL;
GetThreadContext(hThread, &Context);//获取线程Context
Context.Eip = 0x00010000;//修改EIP，也就是修改了当前执行的代码，后续线程激活后，会在这个地址继续执行（这个地址是为了演示随意填写的，由于这个地址问题，程序可能会崩溃）  
Context.ContextFlags = CONTEXT_CONTROL;     
SetThreadContext(hThread, &Context);//设置线程Context    
ResumeThread(hThread);//恢复线程运行，此时程序从0x00010000地址处开始运行，程序会异常