5,386
社区成员
发帖
与我相关
我的任务
分享如何获取WIN7程序的基地址
就是起始地址,在XP中一直是00400000,到了WIN7这个地址就不固定了,用Module32First可以枚举出来,但是是在程序运行之后才可以读出来,我想在CREATEPROCESS启动它,在它运行主线程之前就得到,发现一直是0,有什么办法像OD那样的,直接停在程序的基址吗
...全文
请发表友善的回复…
发表回复
要追问请引用回复 2014-05-07
- 打赏
- 举报
还有一点,DebugActiveProcessStop 是xp以上系统新加入的函数,win2000是没有的。win2000上只要调试了就无法分离
要追问请引用回复 2014-05-07
- 打赏
- 举报
另外需要注意的是,以调试方式运行了进程之后,如果父进程退出,子进程会被结束。如果需要不结束子进程,可以调用DebugActiveProcessStop 来detach。
要追问请引用回复 2014-05-07
- 打赏
- 举报
调用CreateProcess的时候传入DEBUG_ONLY_THIS_PROCESS标识,启动调试模式,等待调试事件例如CREATE_PROCESS_DEBUG_EVENT,可以或得进程启动时的信息。
日立奔腾浪潮微软松下联想 2014-05-06
- 打赏
- 举报
如果把重定位信息剥离的话,加载起始地址还可以随机吗?
蒋晟 2014-05-06
- 打赏
- 举报
抓CREATE_PROCESS_DEBUG_EVENT 吧
fbiboss 2014-05-04
- 打赏
- 举报
有没有办法可以在createprocess之后关闭这个程序的ASLR
ni_mamagea 2014-05-03
- 打赏
- 举报
这个问题百度一下应该有
fbiboss 2014-05-03
- 打赏
- 举报
我知道随机的啊,我就是想获取这个随机地址,在它运行之前
蒋晟 2014-05-01
- 打赏
- 举报
地址是随机的,参考ASLR
