关于ImageBase的问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 2 楼那个没看，不过一般来说imagebase是可以从PE文件映射到了内存之中后，可以用映射到内存，这个地址就是PE的dos头的位置，所以。用PE结构就可以找出这个值是多少了。补上，看上面的imagebase不是PE里的那个imagebase吧？这个函数看上去是判断是否是PE文件，所以这个imagebase应就是文件映射到内存中返回的那个地址。 2009-11-28 16:07 0
wwsyxy 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	wwsyxy 3 楼 hFile = CreateFileMapping(...); 你说的就是hFile吗？ 2009-11-28 16:12 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 4 楼通过可选头IMAGE_OPTIONAL_HEADER里的ImaseBase获得的吧，没看过那书一般是默认的4000000*啥的 2009-11-28 16:13 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 5 楼是mapofview 记不太清楚了。大约是这样的。这个函数会返回地址成功的话 2009-11-28 17:02 0
pDriObj 雪币： 100 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 27 粉丝 1 关注私信	pDriObj 6 楼是GetModuleHandle函数的返回值. 2009-11-29 13:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 2 楼那个没看，不过一般来说imagebase是可以从PE文件映射到了内存之中后，可以用映射到内存，这个地址就是PE的dos头的位置，所以。用PE结构就可以找出这个值是多少了。补上，看上面的imagebase不是PE里的那个imagebase吧？这个函数看上去是判断是否是PE文件，所以这个imagebase应就是文件映射到内存中返回的那个地址。 2009-11-28 16:07 0
wwsyxy 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	wwsyxy 3 楼 hFile = CreateFileMapping(...); 你说的就是hFile吗？ 2009-11-28 16:12 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 4 楼通过可选头IMAGE_OPTIONAL_HEADER里的ImaseBase获得的吧，没看过那书一般是默认的4000000*啥的 2009-11-28 16:13 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 5 楼是mapofview 记不太清楚了。大约是这样的。这个函数会返回地址成功的话 2009-11-28 17:02 0
pDriObj 雪币： 100 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 27 粉丝 1 关注私信	pDriObj 6 楼是GetModuleHandle函数的返回值. 2009-11-29 13:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复