[求助]获取模块基址和大小的哪几种办法？？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2 楼还有一种办法：内联汇编法 1.内联一段汇编，使用call $+5的方式获取EIP，记为lpEIP 2.根据数学原理，获取到的EIP在[ImageBase,ImageBase+ImageSize]这个区间里 3.Windows为模块分配的内存地址都是4KB对齐的，所以将获取到的lpEIP的低12位清零(将地址按4KB对齐) 4.从对齐后的地址开始，向上查找PE的MZ和PE标志，每搜索一次地址递减4096字节，直到找到为之。 2013-7-30 22:08 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 3 楼 [QUOTE=Morgion;1204513]还有一种办法：内联汇编法 1.内联一段汇编，使用call $+5的方式获取EIP，记为lpEIP 2.根据数学原理，获取到的EIP在[ImageBase,ImageBase+ImageSize]这个区间里 3.Windows为模块分配的内存地址都是4KB对齐的，所以将获取到的lpEIP的低12...[/QUOTE] 还有这办法啊，真是不问不知道 2013-7-30 22:15 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 4 楼简单的数学原理而已 2013-7-30 22:21 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 5 楼这个是指针方法,会留下内存访问记录 2013-7-30 22:30 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 6 楼可否讲讲如何查看内存访问记录？ 2013-7-30 22:45 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 7 楼内存断点了... 2013-8-1 14:41 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 8 楼这个对我说的方法有什么影响？正常程序会设置内存断点？ 2013-8-1 15:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2 楼还有一种办法：内联汇编法 1.内联一段汇编，使用call $+5的方式获取EIP，记为lpEIP 2.根据数学原理，获取到的EIP在[ImageBase,ImageBase+ImageSize]这个区间里 3.Windows为模块分配的内存地址都是4KB对齐的，所以将获取到的lpEIP的低12位清零(将地址按4KB对齐) 4.从对齐后的地址开始，向上查找PE的MZ和PE标志，每搜索一次地址递减4096字节，直到找到为之。 2013-7-30 22:08 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 3 楼 [QUOTE=Morgion;1204513]还有一种办法：内联汇编法 1.内联一段汇编，使用call $+5的方式获取EIP，记为lpEIP 2.根据数学原理，获取到的EIP在[ImageBase,ImageBase+ImageSize]这个区间里 3.Windows为模块分配的内存地址都是4KB对齐的，所以将获取到的lpEIP的低12...[/QUOTE] 还有这办法啊，真是不问不知道 2013-7-30 22:15 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 4 楼简单的数学原理而已 2013-7-30 22:21 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 5 楼这个是指针方法,会留下内存访问记录 2013-7-30 22:30 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 6 楼可否讲讲如何查看内存访问记录？ 2013-7-30 22:45 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 7 楼内存断点了... 2013-8-1 14:41 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 8 楼这个对我说的方法有什么影响？正常程序会设置内存断点？ 2013-8-1 15:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复