-
-
反调试里的一个问题
-
发表于:
2010-5-7 22:15
3210
-
fs:[30h]指向PEB
fs:[30h]+18h指向PEB.ProcessHeap
[fs:[30h]+18h]+0ch指向PEB.ProcessHeap.Flags
这种写法有错吗?为什么OD里面DD [fs:[30h]+18h]+0ch命令指向无效地址?
DD fs:[30h]+18h 显示如下: 7FFD6018 00140000
DD [fs:[30h]+18h]就指向无效地址了。
如果先 mov ebx,fs:[30h],然后DD [ebx+18h] 就可以,真搞不懂。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
