-
-
反调试里的一个问题
-
发表于:
2010-5-7 22:15
3211
-
fs:[30h]指向PEB
fs:[30h]+18h指向PEB.ProcessHeap
[fs:[30h]+18h]+0ch指向PEB.ProcessHeap.Flags
这种写法有错吗?为什么OD里面DD [fs:[30h]+18h]+0ch命令指向无效地址?
DD fs:[30h]+18h 显示如下: 7FFD6018 00140000
DD [fs:[30h]+18h]就指向无效地址了。
如果先 mov ebx,fs:[30h],然后DD [ebx+18h] 就可以,真搞不懂。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
