能力值:
( LV2,RANK:10 )
|
-
-
求助:关于PE文件加载过程
刚才去书店买了本<<加密与解密>>,我已经在该书中找到了答案。
原来当加载程序完成了DLL的加载之后,会用FUNCTION的地址覆盖掉
AddressofFunctions所指向的函数RVAS数组中与之对应的值,当应用程序要调用函数FUNCTION的时候就直接CALL THEadressofFUNCTION.在PE文件被加载前AddressofFunctions所指向的数组和AddressofNames所指向的函数名数组根本就是同一个数组,现在才明白,原来当PE文件被加载后AddressofFunctions所指向的RVA数组已经被替换成了函数的入口地址表
|