【3.A.S.T】网络安全爱好者's Archiver

黑客学习

valen886 发表于 2008-7-20 12:47

[讨论]PEMaker6里获取dll实际加载地址和入口点的疑问

[讨论]PEMaker6里获取dll实际加载地址和入口点的疑问
议题作者:dratiger
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])

原始出处:Inject your code to a Portable Executable file (from codeproject.com)

在这篇文章中,第四部分应用于dll/ocx,在运行时获取dll/ocx实际加载地址是使用
  mov eax,[esp+24h]  // imagebase
    mov ebx,[esp+30h]  // oep
扣除pushad的20h,实际上相对于入口点堆栈的地址为[esp+4]和[esp+10]。
我用ollydbg调试来看,大部分dll的入口点堆栈是符合这种情况的,但是仍然有一些dll并不符合。[esp+4]内容是ntdll.7c930738,入口点似乎和调试器停在的位置不一致。

新手学习中,望各位告人指点一二。
帖子9 精华[url=http://forum.eviloctal.com/digest.php?authorid=29826]0[/url] 积分25 阅读权限40 性别男 在线时间9 小时

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.