首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
LordPE 错了? 求解释
发表于: 2010-1-8 18:07 3615

LordPE 错了? 求解释

blueapplez 活跃值
14
2010-1-8 18:07
3615
如图:
为什么最后面那个dll 的基址 在list表里面显示是 0x1FFD0000
而在 载入PE编辑器中就变成了 0x1F840000

感觉是LordPE错咯~
我自己写的工具查的是 0x1F840000

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (6)
iceway
雪    币: 19
活跃值: (1086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
DLL基址 不是固定不变的
2010-1-8 19:08
0
blueapplez
雪    币: 458
活跃值: (421)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
3
那请问,这个被加载的DLL基址是如何计算的?
2010-1-8 19:10
0
iceway
雪    币: 19
活跃值: (1086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
链接器根据内存分配的吧.
默认的基址是 10000000
如果此段空间被某种原因占用,连接器就会自动分配到别的空间
2010-1-8 19:12
0
blueapplez
雪    币: 458
活跃值: (421)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
5
您回答的貌似不对哦,随便找一dll ,往LordPE一拖~,RT~
上传的附件:
2010-1-8 19:40
0
onepc
雪    币: 109
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
4楼ms是对的。。他说这个默认只是没更改过的而已。这个可以改入口点的。
2010-1-8 19:42
0
wxxw
雪    币: 95
活跃值: (419)
能力值: ( LV9,RANK:310 )
在线值:
发帖
回帖
粉丝
私信
7
pe头里填写的镜像基址是一回事,当模块被加载到内存里的实际镜像基址是另外一回事,默认是加载到PE头里定义的地方,如果那地方已经被其他模块占了,就只能换个地方了
你可以用od附加到qq,然后ALT+M查看内存,看模块地址是1F840000还是1FFD0000
2010-1-8 20:47
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
// // 统计代码