-
-
[求助]一些小白问题,没搜到答案。。(已解决)
-
发表于: 2010-6-13 12:34
-
我用的是OD
这行代码,现在在程序领空,我能看出来这是调用了系统的api函数对吧?
004012B1 call dword ptr [<&KERNEL32.CreateFileA>] ; \CreateFileA
F7步入后就来到了系统领空,从虚拟地址上可以很容易看出来
7C801A28 mov edi, edi ; kernel32.SetErrorMode
但是我用鼠标双击call dword ptr [<&KERNEL32.CreateFileA>] 处,显示call dword
ptr [402010],然后我ctrl+G找到402010,来到这里
00402010 sub byte ptr [edx], bl
我的疑问是,这个402010处还算是程序领空吗? 如果他是的话为什么我从上到下翻程序代码都看不到4020xx开头的呢,全部都是4010xx开头的呢
买的《加密与解密》里貌似没这方面的例子,也不知道这个问题该如何搜索,望大牛给解惑
这行代码,现在在程序领空,我能看出来这是调用了系统的api函数对吧?
004012B1 call dword ptr [<&KERNEL32.CreateFileA>] ; \CreateFileA
F7步入后就来到了系统领空,从虚拟地址上可以很容易看出来
7C801A28 mov edi, edi ; kernel32.SetErrorMode
但是我用鼠标双击call dword ptr [<&KERNEL32.CreateFileA>] 处,显示call dword
ptr [402010],然后我ctrl+G找到402010,来到这里
00402010 sub byte ptr [edx], bl
我的疑问是,这个402010处还算是程序领空吗? 如果他是的话为什么我从上到下翻程序代码都看不到4020xx开头的呢,全部都是4010xx开头的呢
买的《加密与解密》里貌似没这方面的例子,也不知道这个问题该如何搜索,望大牛给解惑
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
