返回列表 发帖

[讨论]PEMaker6里获取dll实际加载地址和入口点的疑问

[讨论]PEMaker6里获取dll实际加载地址和入口点的疑问
议题作者:dratiger
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

原始出处:Inject your code to a Portable Executable file (from codeproject.com)

在这篇文章中,第四部分应用于dll/ocx,在运行时获取dll/ocx实际加载地址是使用
  mov eax,[esp+24h]  // imagebase
    mov ebx,[esp+30h]  // oep
扣除pushad的20h,实际上相对于入口点堆栈的地址为[esp+4]和[esp+10]。
我用ollydbg调试来看,大部分dll的入口点堆栈是符合这种情况的,但是仍然有一些dll并不符合。[esp+4]内容是ntdll.7c930738,入口点似乎和调试器停在的位置不一致。

新手学习中,望各位告人指点一二。
帖子9 精华0 积分25 阅读权限40 性别男 在线时间9 小时

返回列表