pthread_create 会先得到一个pthread_internal_t结构体
最后会调用__pthread_internal_add并将返回值赋给pthread_create的第一个参数thread_out
__pthread_internal_add 会将传入的 pthread_internal_t 加入到g_thread_list全局线程列表中,然后将传入的pthread_internal_t返回,也就是pthread_internal_t实际就等于pthread_t,最后对应的就是pthread_create的第一个参数。
pthread_internal_t 结构体的第三个字段就是创建线程对应线程idtid,64位系统中对应的偏移就是0x10
使用fridahook多线程程序的时候,如果不知道关键线程的start_routine起始地址,但是可以获得关键线程的tid,如果这个时候需要定位到关键线程的调用pthread_create的位置和start_routine的话就可以hook pthread_create并得到返回的tid,然后看是否是关键线程的tid。
var pthread_create_addr = Module.findExportByName("libc.so", "pthread_create");
Interceptor.attach(pthread_create_addr, {
onEnter:function(args){
pthread_arg0 = args[0]
pthread_arg2 = args[2]
},onLeave:function(){
try{
console.log("(tid : ", pthread_arg0.readPointer().add(0x10).readU32(), ")", "pthread_create : ", pthread_arg2.sub(libsgmainso_module));
}catch(e){
}
}
})