[讨论]PEMaker6里获取dll实际加载地址和入口点的疑问
[讨论]PEMaker6里获取dll实际加载地址和入口点的疑问议题作者:dratiger
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])
原始出处:Inject your code to a Portable Executable file (from codeproject.com)
在这篇文章中,第四部分应用于dll/ocx,在运行时获取dll/ocx实际加载地址是使用
mov eax,[esp+24h] // imagebase
mov ebx,[esp+30h] // oep
扣除pushad的20h,实际上相对于入口点堆栈的地址为[esp+4]和[esp+10]。
我用ollydbg调试来看,大部分dll的入口点堆栈是符合这种情况的,但是仍然有一些dll并不符合。[esp+4]内容是ntdll.7c930738,入口点似乎和调试器停在的位置不一致。
新手学习中,望各位告人指点一二。
帖子9 精华[url=http://forum.eviloctal.com/digest.php?authorid=29826]0[/url] 积分25 阅读权限40 性别男 在线时间9 小时
页:
[1]