[求助]DLL何时加载到内存？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
Soargon 雪币： 137 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	Soargon 2 楼貌似加了TMD壳的程序就这样本来应该是入口点之前加载的专门消灭0回复 2010-9-27 12:23 0
wudidaoshi 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 78 粉丝 0 关注私信	wudidaoshi 3 楼时机未到而已，呵呵，没人知道吗？都不帮一下新人啊！~ 2010-9-27 12:58 0
爱在天涯雪币： 169 活跃值： (245) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 128 粉丝 2 关注私信	爱在天涯 3 4 楼 kernel32.dll 文件是windows系统文件，是系统自带的应该在 system32或者 windows目录里。当然不用在程序文件夹里再有。还有 user32.dll 等等，像常用的系统dll 应该知道个大概。 2010-9-27 13:07 0
大嘴呀呀雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	大嘴呀呀 5 楼 Dll是动态链接库，是程序在执行时动态的被加载进内存的！ 2010-9-27 13:16 0
wudidaoshi 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 78 粉丝 0 关注私信	wudidaoshi 6 楼 4楼的你跑偏的 2010-9-27 13:17 0
wudidaoshi 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 78 粉丝 0 关注私信	wudidaoshi 7 楼在OD里面只看到kernel32.dll,ntdll.dll模块，在冰刃里看到的是N多个模块？在导入表里只有一个kernel32.dll模块 2010-9-27 13:18 0
Allision 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	Allision 8 楼当进程被加载时，系统为它分配一个4GB的地址空间，接着分析可执行模块(控制台exe文件),找到该程序将要调用哪些DLL，然后系统搜索这些DLL，找到后就加载它们，并为它们分配虚拟的内存空间，最后将 DLL的页面映射到调用进程的地址空间，DLL加载完毕。建议看一下孙鑫的<<VC++深入详解>>19章动态连接库讲的很详细的 2010-9-27 14:45 0
longfengy 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	longfengy 9 楼不是太懂查一下 2010-9-27 15:05 0
longfengy 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	longfengy 10 楼当一个可执行文件被启动时，操作系统加载程序将为该进程创建虚拟地址空间。然后，加载程序将可执行模块映射到进程的地址空间中。加载程序查看可执行模块的输入节，并设法找出任何需要的D L L，并将它们映射到进程的地址空间中。 2010-9-27 15:09 0
wudidaoshi 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 78 粉丝 0 关注私信	wudidaoshi 11 楼 OK，本人找到原因了，首先是根据导入表加载的DLL，这时候内存中只有两个DLL，kernel32.dll,ntdll.dll 在代码运行过程中会加载很多DLL 。 2010-9-27 15:54 0
chitcrazy 雪币： 47 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 77 粉丝 0 关注私信	chitcrazy 12 楼是根据导入表而找到dll的吗，而不是找到了dll再将这些写入导入表的吗 2013-11-8 15:28 0
soechin 雪币： 69 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 145 粉丝 0 关注私信	soechin 13 楼 bp LoadLibraryA bp LoadLibraryW 2013-11-8 16:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
Soargon 雪币： 137 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	Soargon 2 楼貌似加了TMD壳的程序就这样本来应该是入口点之前加载的专门消灭0回复 2010-9-27 12:23 0
wudidaoshi 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 78 粉丝 0 关注私信	wudidaoshi 3 楼时机未到而已，呵呵，没人知道吗？都不帮一下新人啊！~ 2010-9-27 12:58 0
爱在天涯雪币： 169 活跃值： (245) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 128 粉丝 2 关注私信	爱在天涯 3 4 楼 kernel32.dll 文件是windows系统文件，是系统自带的应该在 system32或者 windows目录里。当然不用在程序文件夹里再有。还有 user32.dll 等等，像常用的系统dll 应该知道个大概。 2010-9-27 13:07 0
大嘴呀呀雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	大嘴呀呀 5 楼 Dll是动态链接库，是程序在执行时动态的被加载进内存的！ 2010-9-27 13:16 0
wudidaoshi 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 78 粉丝 0 关注私信	wudidaoshi 6 楼 4楼的你跑偏的 2010-9-27 13:17 0
wudidaoshi 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 78 粉丝 0 关注私信	wudidaoshi 7 楼在OD里面只看到kernel32.dll,ntdll.dll模块，在冰刃里看到的是N多个模块？在导入表里只有一个kernel32.dll模块 2010-9-27 13:18 0
Allision 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	Allision 8 楼当进程被加载时，系统为它分配一个4GB的地址空间，接着分析可执行模块(控制台exe文件),找到该程序将要调用哪些DLL，然后系统搜索这些DLL，找到后就加载它们，并为它们分配虚拟的内存空间，最后将 DLL的页面映射到调用进程的地址空间，DLL加载完毕。建议看一下孙鑫的<<VC++深入详解>>19章动态连接库讲的很详细的 2010-9-27 14:45 0
longfengy 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	longfengy 9 楼不是太懂查一下 2010-9-27 15:05 0
longfengy 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	longfengy 10 楼当一个可执行文件被启动时，操作系统加载程序将为该进程创建虚拟地址空间。然后，加载程序将可执行模块映射到进程的地址空间中。加载程序查看可执行模块的输入节，并设法找出任何需要的D L L，并将它们映射到进程的地址空间中。 2010-9-27 15:09 0
wudidaoshi 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 78 粉丝 0 关注私信	wudidaoshi 11 楼 OK，本人找到原因了，首先是根据导入表加载的DLL，这时候内存中只有两个DLL，kernel32.dll,ntdll.dll 在代码运行过程中会加载很多DLL 。 2010-9-27 15:54 0
chitcrazy 雪币： 47 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 77 粉丝 0 关注私信	chitcrazy 12 楼是根据导入表而找到dll的吗，而不是找到了dll再将这些写入导入表的吗 2013-11-8 15:28 0
soechin 雪币： 69 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 145 粉丝 0 关注私信	soechin 13 楼 bp LoadLibraryA bp LoadLibraryW 2013-11-8 16:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复