【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]PEMaker6里获取dll实际加载地址和入口点的疑问 [打印本页]

作者: valen886 时间: 2008-7-20 12:47 标题: [讨论]PEMaker6里获取dll实际加载地址和入口点的疑问

[讨论]PEMaker6里获取dll实际加载地址和入口点的疑问
议题作者：dratiger
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

原始出处：Inject your code to a Portable Executable file (from codeproject.com)

在这篇文章中，第四部分应用于dll/ocx，在运行时获取dll/ocx实际加载地址是使用
mov eax,[esp+24h] // imagebase
mov ebx,[esp+30h] // oep
扣除pushad的20h，实际上相对于入口点堆栈的地址为[esp+4]和[esp+10]。
我用ollydbg调试来看，大部分dll的入口点堆栈是符合这种情况的，但是仍然有一些dll并不符合。[esp+4]内容是ntdll.7c930738，入口点似乎和调试器停在的位置不一致。

新手学习中，望各位告人指点一二。
帖子9 精华0 积分25 阅读权限40 性别男在线时间9 小时

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)