- 帖子
- 310
- 积分
- 810
- 威望
- 1302
- 金钱
- 1010
- 在线时间
- 2 小时
|
[讨论]PEMaker6里获取dll实际加载地址和入口点的疑问
[讨论]PEMaker6里获取dll实际加载地址和入口点的疑问
议题作者:dratiger
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
原始出处:Inject your code to a Portable Executable file (from codeproject.com)
在这篇文章中,第四部分应用于dll/ocx,在运行时获取dll/ocx实际加载地址是使用
mov eax,[esp+24h] // imagebase
mov ebx,[esp+30h] // oep
扣除pushad的20h,实际上相对于入口点堆栈的地址为[esp+4]和[esp+10]。
我用ollydbg调试来看,大部分dll的入口点堆栈是符合这种情况的,但是仍然有一些dll并不符合。[esp+4]内容是ntdll.7c930738,入口点似乎和调试器停在的位置不一致。
新手学习中,望各位告人指点一二。
帖子9 精华0 积分25 阅读权限40 性别男 在线时间9 小时 |
|