找到一内存基址, 每次都变化, 怎么确定?-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
Nermor 雪币： 138 活跃值： (460) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 371 粉丝 2 关注私信	Nermor 1 2 楼某个歪瓜群的验证题吧？通常找不到基址这种情况，写瓜的时候直接用hook 解决；那篇验证贴指明了要用基址来获取，我也没找到通用基址~ 2012-8-23 09:50 0
深海之龙雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 81 粉丝 0 关注私信	深海之龙 3 楼肯定不是基址动态分配的！ 2012-8-23 09:52 0
梨树生果雪币： 3581 活跃值： (719) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 53 粉丝 1 关注私信	梨树生果 4 楼先找到基地址，然后加上相对地址就找到了。 EXE的基地址正常都是00400000，DLL的可能是别的。相对地址可以这么计算就是用：当前地址-基地址=相对地址如果你要锁定你的地址就用：基地址+相对地址就找到了！ 2012-8-23 10:00 0
appview 雪币： 512 活跃值： (3465) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 198 粉丝 1 关注私信	appview 5 楼我用VC2008编译代码也遇到过这样的问题。一、如果有源码的话，设置编译选项： /DYNAMICBASE:NO /FIXED:YES 二、没有源码只有PE文件,有2种方法 1)修改PE文件使用LordPE修改PE头，OptionalHeader.DllCharacteristics&=~0x0040 2)修改注册表,修改后重启机器 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management MoveImages=0 2012-8-23 10:10 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 6 楼反汇编一下计算器，所找到的基址 - pe文件头起始基址 = 相对偏移然后，运行计算器，获取计算器模块内存的pe头基址，在加上相对偏移，得到的是就内存中的地址了。计算公式：内存中的地址 = 文件反汇编所找到的基址 - pe文件头起始基址 + 计算器模块内存的pe头基址 && 文件中的地址 = 内存中的地址 - 计算器模块内存的pe头基址 + pe文件头起始基址 2012-8-23 14:23 0
atompure 雪币： 20557 活跃值： (3780) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 261 粉丝 0 关注私信	atompure 7 楼 Address = Base of Module + Offset ==> Offset = Address - Base of Module DWORD Base = (DWORD)GetModuleHandle("application.exe"); DWORD Address = Base + Offset; 2012-8-23 18:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
Nermor 雪币： 138 活跃值： (460) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 371 粉丝 2 关注私信	Nermor 1 2 楼某个歪瓜群的验证题吧？通常找不到基址这种情况，写瓜的时候直接用hook 解决；那篇验证贴指明了要用基址来获取，我也没找到通用基址~ 2012-8-23 09:50 0
深海之龙雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 81 粉丝 0 关注私信	深海之龙 3 楼肯定不是基址动态分配的！ 2012-8-23 09:52 0
梨树生果雪币： 3581 活跃值： (719) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 53 粉丝 1 关注私信	梨树生果 4 楼先找到基地址，然后加上相对地址就找到了。 EXE的基地址正常都是00400000，DLL的可能是别的。相对地址可以这么计算就是用：当前地址-基地址=相对地址如果你要锁定你的地址就用：基地址+相对地址就找到了！ 2012-8-23 10:00 0
appview 雪币： 512 活跃值： (3465) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 198 粉丝 1 关注私信	appview 5 楼我用VC2008编译代码也遇到过这样的问题。一、如果有源码的话，设置编译选项： /DYNAMICBASE:NO /FIXED:YES 二、没有源码只有PE文件,有2种方法 1)修改PE文件使用LordPE修改PE头，OptionalHeader.DllCharacteristics&=~0x0040 2)修改注册表,修改后重启机器 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management MoveImages=0 2012-8-23 10:10 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 6 楼反汇编一下计算器，所找到的基址 - pe文件头起始基址 = 相对偏移然后，运行计算器，获取计算器模块内存的pe头基址，在加上相对偏移，得到的是就内存中的地址了。计算公式：内存中的地址 = 文件反汇编所找到的基址 - pe文件头起始基址 + 计算器模块内存的pe头基址 && 文件中的地址 = 内存中的地址 - 计算器模块内存的pe头基址 + pe文件头起始基址 2012-8-23 14:23 0
atompure 雪币： 20557 活跃值： (3780) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 261 粉丝 0 关注私信	atompure 7 楼 Address = Base of Module + Offset ==> Offset = Address - Base of Module DWORD Base = (DWORD)GetModuleHandle("application.exe"); DWORD Address = Base + Offset; 2012-8-23 18:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复