社区
汇编语言
帖子详情
确定 PE文件被装载的地址
LeLeGhost
2003-06-20 08:21:39
看别人在确定 PE文件被装载的地址时用 PE header的 ImageBase值来确定,
查了一些 PE说明的文章。上面是这么说 ImageBase的 PE文件的优先装载地址。
那么是不是说 PE文件被装载的地址可能不是 ImageBase?
这个方法是不是可能不对?
...全文
43
10
打赏
收藏
确定 PE文件被装载的地址
看别人在确定 PE文件被装载的地址时用 PE header的 ImageBase值来确定, 查了一些 PE说明的文章。上面是这么说 ImageBase的 PE文件的优先装载地址。 那么是不是说 PE文件被装载的地址可能不是 ImageBase? 这个方法是不是可能不对?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
10 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
LeLeGhost
2003-06-20
打赏
举报
回复
大家是不是说是 DLL 和 OCX的地址是很有可能不对的,而 exe 在大多数情况下是对的。
那么有么有更准确、更通用的方法?
Areslee
2003-06-20
打赏
举报
回复
PE文件可以装载到任何地址空间,VC中有一个选项可以指定IMAGEBASE的值,缺省址是0x400000
zbl101
2003-06-20
打赏
举报
回复
每个exe文件都有自己的4g空间,所以都装载在ImageBase
sxmzmxh
2003-06-20
打赏
举报
回复
exe一般都装载在ImageBase,因为它开辟了自己的地址空间。
其它的如dll,ocx等就要视情况而定了,如果地址被占用,就装载在别处。
sxmzmxh
2003-06-20
打赏
举报
回复
http://www.luocong.com/articles/show_article.asp?Article_ID=23
sxmzmxh
2003-06-20
打赏
举报
回复
KERNEL32.DLL地址基本是固定的,不过98。2000。xp下各有不同
LeLeGhost
2003-06-20
打赏
举报
回复
哇!那要调用函数。我的目的是在不调用任何库的情况下,得到宿主基地址。
再得到 KERNEL32.DLL的位置。可以用函数,那不如直接
用 GetModuleHandle("KERNEL32.DLL")
算了,还是自己算吧。实在不行就加个 SEH吧。
sxmzmxh
2003-06-20
打赏
举报
回复
很多方法,GetModuleHandle,
或者Toolhelp的Module32First,Module32Next,
或psapi的EnumProcessModules
LeLeGhost
2003-06-20
打赏
举报
回复
就是保证我在程序中能得到当前的准确装载地址。
或者能得知当前载入的地址不是 ImageBase优先地址,可以做出相应动作。
sxmzmxh
2003-06-20
打赏
举报
回复
什么叫 更准确、更通用的方法?
Windows应用程序捆绑核心编程光盘代码
2.5.2
确定
PE
文件
中的资源 41 2.6 一个修改
PE
可执行
文件
的完整实例 43 2.6.1 如何获得MessageBoxA代码 43 2.6.2 把MessageBoxA()代码写入
PE
文件
的完整实例 45 2.7 本章小结 53 参考文献 53 第3章 进程之间通信...
2011特征码定位器
------------------------------- 复合特征码 辅助定位工具 祥云特征码定位器 个人完整版 ------------------------------- ]] 前言 [[ 自从CCL问世以来,特征码修改已经成为了对付杀毒软件的...
PE
文件
节表信息
rordbg辅助脱壳工具
答:点击“打开被分析
文件
”,出现Windows标准的
文件
打开对话框,选择欲分析的
文件
(必须是
PE
格式的EXE
文件
), 这时,被调试程序已经加载,可以先设置断点等调试条件,如果希望研究壳的技术,可以点选“遇到异常...
易语言内存加载DLL
文件
不落地源码-易语言
源码公开也算是个半成品 以后可能会完善吧至少不是现在去完善他网上各类内存加载 看的眼花缭乱 我不
确定
我的这个是否有人发过 原理: 申请内存空间-DLLxx写入-根据系统调用特性填写对应的
地址
(例如:导入表 入口 ..)- ...
南开21春学期《计算机病毒分析》在线作业.docx
选项A:遍历SSDT表 选项B:使用查杀病毒的软件 选项C:查找异常的函数入口
地址
选项D:ntoskrnl.exe的
地址
空间是从804d7000到806cd580 正确选项:B ()能够将一个被调试的进程转储为一个
PE
文件
选项A:OllyDump ...
汇编语言
21,458
社区成员
41,603
社区内容
发帖
与我相关
我的任务
汇编语言
汇编语言(Assembly Language)是任何一种用于电子计算机、微处理器、微控制器或其他可编程器件的低级语言,亦称为符号语言。
复制链接
扫一扫
分享
社区描述
汇编语言(Assembly Language)是任何一种用于电子计算机、微处理器、微控制器或其他可编程器件的低级语言,亦称为符号语言。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章