-
-
一 个 PE 装 载 的 问 题 !!!
-
发表于:
2004-9-17 21:02
5458
-
问题:
win系统内核对象建立时,系统在内存开辟响应的内存块,并把其应用它的入口定义为Handle类型!win应用程序都是调用handle来引用内核对象!int3断到应用程序的入口时,跟踪不了系统如何创建内核对象,只有相应的调用winmain入口调用,不过有系统回收handle的API,・・・
handle是对象的引用,handle的返回直一般引用比如:一个基地址,或一个Moudle的OEP,或ADDR,或Heap,等吧・・・它们系统分配好了・・・我想跟踪的是win系统如何创建・它们,handle只是保存好了对象的的引用・・(一般大多是有Creatxxxx开头的API创建),这些内核对象如何关联?
好象是系统如何装载pe文件・而不是pe文件格式的问题・
看雪以前有发过的贴子・・回贴很少,偶没有理解清???
大家讨论一下,支持一下!有描述出错的地方希望大家指正,感激不尽!!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课