[求助]关于ReadProcessMemory系统调用-软件逆向-看雪-安全社区|安全招聘|kanxue.com

只是过客而已

2021-12-16 20:39

10253

请问我这kernel32.dll里面的ReadProcessMemory

调用了api-ms-win-core-memory-l1-1-0.dll里面的ReadProcessMemory

可这个DLL里面好像只定义了一个字符串，就没干别的了
似乎也没有调用ntdll里面的函数

然后我在OD中查看，发现他在kernel32中直接调用了ntdll里面的函数
。

有大神能给小白讲解下IDA和OD怎么观察到的不一致，还有这个调用过程是怎么进行的。

收藏・1

免费・0

支持

最新回复 (3)
huojier 雪币： 137 活跃值： (1350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 8 关注私信	huojier 2 楼 https://bitbucket.org/evolution536/crysearch-memory-scanner/raw/3c6486f841d4a7febceed3e467e000057ca776f3/PortableExecutable.cpp 看InlineResolveApiSetSchema 2021-12-16 21:46 1
Oday小斯雪币： 1129 活跃值： (2731) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 143 粉丝 3 关注私信	Oday小斯 3 楼 api set，函数转发 2021-12-17 00:57 1
只是过客而已雪币： 1636 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	只是过客而已 4 楼 huojier https://bitbucket.org/evolution536/crysearch-memory-scanner/raw/3c6486f841d4a7febceed3e467e000057ca7 ... 感谢！ 2021-12-17 09:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

只是过客而已

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区