首页
社区
课程
招聘
一 个 PE 装 载 的 问 题 !!!
发表于: 2004-9-17 21:02 5458

一 个 PE 装 载 的 问 题 !!!

2004-9-17 21:02
5458
问题:

win系统内核对象建立时,系统在内存开辟响应的内存块,并把其应用它的入口定义为Handle类型!win应用程序都是调用handle来引用内核对象!int3断到应用程序的入口时,跟踪不了系统如何创建内核对象,只有相应的调用winmain入口调用,不过有系统回收handle的API,・・・

handle是对象的引用,handle的返回直一般引用比如:一个基地址,或一个Moudle的OEP,或ADDR,或Heap,等吧・・・它们系统分配好了・・・我想跟踪的是win系统如何创建・它们,handle只是保存好了对象的的引用・・(一般大多是有Creatxxxx开头的API创建),这些内核对象如何关联?

好象是系统如何装载pe文件・而不是pe文件格式的问题・
看雪以前有发过的贴子・・回贴很少,偶没有理解清???

大家讨论一下,支持一下!有描述出错的地方希望大家指正,感激不尽!!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (3)
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
2
:( :( :( :( :( !!!
希望大家支持一下,感激不尽!怎么没有人回贴・・・
・各位斑竹能回一下,偶回感激不尽的・・・
谢谢,大家支持!!!
:( :( :(
2004-9-18 13:07
0
雪    币: 413
活跃值: (637)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
3
是不是你用的分析工具不对啊.这种分析内核的东西,用softice 吧,在9X用TR也好.OD不成的.
2004-9-18 14:39
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
4
最初由 nig 发布
是不是你用的分析工具不对啊.这种分析内核的东西,用softice 吧,在9X用TR也好.OD不成的.

谢谢・・
我认为PE装载问题,好象与分析工具无关吧・si od,trw都分析过,那应该是win系统的神秘的,微软是不会・・・・
谢谢・・
以前论坛里发过pe装载问题。一些壳到也是模仿win系统装载PE,但在装载pe之前,win系统会自动分配其内核的资源,我就是想详细知道它win系统在装载pe时它是如何自动分配其内核的资源,如何保护好它的庞大的内核对象群?
我不知道我问的是不是变态!!!
:( :( :( :(
2004-9-18 14:58
0
游客
登录 | 注册 方可回帖
返回
//