fs:[30h]指向PEB
fs:[30h]+18h指向PEB.ProcessHeap
[fs:[30h]+18h]+0ch指向PEB.ProcessHeap.Flags
这种写法有错吗?为什么OD里面DD [fs:[30h]+18h]+0ch命令指向无效地址?
DD fs:[30h]+18h 显示如下: 7FFD6018 00140000
DD [fs:[30h]+18h]就指向无效地址了。
如果先 mov ebx,fs:[30h],然后DD [ebx+18h] 就可以,真搞不懂。
[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入!
