; find base addr of kernel32.dll
                        mov ebx, fs:[edx + 0x30]         ; ebx = address of PEB
                        mov ecx, [ebx + 0x0c]                 ; ecx = pointer to loader data
                        mov ecx, [ecx + 0x1c]         ; ecx = first entry in initialisation order list
                        mov ecx, [ecx]                                 ; ecx = second entry in list  

                        mov ebp, [ecx + 0x08]                 ; ebp = base address of kernel32.dll

怎么mov ecx,[ecx] 就可以得到链表的下个元素kernel32.dll

还有
find_functions:
                        pushad                                                 ; preserve registers
                        mov eax, [ebp + 0x3c]                ; eax = start of PE header
                        mov ecx, [ebp + eax + 0x78]        ; ecx = relative offset of export table
                        add ecx, ebp                                 ; ecx = absolute addr of export table
                        mov ebx, [ecx + 0x20]                 ; ebx = relative offset of names table
                        add ebx, ebp                                 ; ebx = absolute addr of names table
                        xor edi, edi                                 ; edi will count through the functions

为什么 add ecx, ebp   ecx才是真实的地址表哦，不是前面mov ecx,[ebp+eax+0x78]
就加了ebp 得到他的真实地址了吗？？？？
不懂，还望高手请教

[培训]《安卓高级研修班(网课)》月薪三万计划，掌 握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法