首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]windows系统,exe映像的大小
发表于: 2015-3-3 15:38 3493

[求助]windows系统,exe映像的大小

乘风cheng 活跃值
2015-3-3 15:38
3493
我现在利用EPROCESS中的PEB,找到了ImageBaseAddress。我现在不清楚哪里可以获取exe映像的大小,只有起始地址ImageBaseAddress,请问哪里可以获取这个exe映像的大小?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
h辉
雪    币: 101
活跃值: (29)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
PE 头
2015-3-3 16:36
0
瀚海云烟
雪    币: 293
活跃值: (287)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
_LDR_DATA_TABLE_ENTRY 里面找
2015-3-3 18:16
0
老伙计
雪    币: 807
活跃值: (2293)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
mov eax,fs:[0x30]
mov eax,[eax+0x0c]
mov eax,[eax+0x0c]
mov eax,[eax+0x20]

    eax 最终的值就是 exe 映像的长度。在加壳的程序里面修改此值可以做到  antidump 的效果,好不容易脱完壳,却会意外发现,不能 dump 出来,是不是很悲催?
2015-7-1 13:42
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//