问个老帖子里面的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

问个老帖子里面的问题

发表于: 2007-3-27 23:04 3961

问个老帖子里面的问题

jaded

2007-3-27 23:04

3961

marxixing写的<庆祝编程版块开张，发个简单的loader>
有个问题请教一下：
程序里面MapViewOfFile得到当前的imageBase,然后得到EntryPoint的地址。接着createProcess，用这个地址来写入int 3.
问题是MapViewOfFile得到的地址和createProcess创建的进程空间中的地址一样吗？

除非CreateProcess时，ImageBase正好和MapViewOfFile一样的才有用吧。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (3)
jaded 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	jaded 2 楼原帖子: http://bbs.pediy.com/showthread.php?s=&threadid=14300 2007-3-29 13:42 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 3 楼你理解错了，他的程序先是用MapViewOfFile打开PE文件，然后根据PE文件格式取得该PE文件的ImageBase和EntryPoint，这个PE文件里的ImageBase并不是使用的MapViewOfFile取得的ImageBase。他们是不同的，你别搞错了。 2007-3-29 14:11 0
jaded 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	jaded 4 楼谢谢~ 我看明白了. 2007-3-29 17:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jaded

发帖

回帖

RANK

关注

私信

他的文章

问个老帖子里面的问题 3962
有没有 windows loader的资料 4673

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
jaded 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	jaded 2 楼原帖子: http://bbs.pediy.com/showthread.php?s=&threadid=14300 2007-3-29 13:42 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 3 楼你理解错了，他的程序先是用MapViewOfFile打开PE文件，然后根据PE文件格式取得该PE文件的ImageBase和EntryPoint，这个PE文件里的ImageBase并不是使用的MapViewOfFile取得的ImageBase。他们是不同的，你别搞错了。 2007-3-29 14:11 0
jaded 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	jaded 4 楼谢谢~ 我看明白了. 2007-3-29 17:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复