首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[求助]输入表里面的NAME是啥意思
发表于: 2008-11-23 14:43 4216

[求助]输入表里面的NAME是啥意思

yapluto 活跃值
2008-11-23 14:43
4216
00CFB9D4  87 00 5F 5F 70 5F 5F 66 6D 6F 64 65 00 00 99 00  ?__p__fmode..?

像这样,为什么名字前会有两个字节,什么作用?
是不是所有的名字前都有呢?
系统加载程序的时候直接跳过这两个字节么?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (6)
yapluto
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
这个问题很难么
2008-11-23 16:30
0
icersg
雪    币: 293
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
hint number,用GetProcAddress查找某一个函数的时候,既可以用名字,也可以用这个数字
2008-11-23 16:58
0
书呆彭
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
4
前两个字节叫hint,实际是一个16位的整数。

后面紧跟着的是Name的以null结束的字符串。

请多使用搜索功能。

在PE文件相关的资料中有说明。自己查找。
2008-11-23 16:58
0
书呆彭
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
5
错了,GetProcAddress用的是序号,是ordinal,这个hint是另外的作用,正如其名字,它只是个“提示”,你不可相信它。

请看:Crackme1.exe的导入表,User32.dll的wsprintfA函数的hint是684(0x2AC),但在User32.dll导出表中,该函数的实际序号是731(0x2DB),



而序号为0x2AC的函数是TranslateMessageEx,而且我们看到,该函数的ordinal和hint不相同!!

上传的附件:
2008-11-23 17:00
0
icersg
雪    币: 293
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
嗯,我说错了,看来还是理解的不深刻,继续学习,呵呵。
2008-11-23 17:12
0
yapluto
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
谢谢各位的回答
2008-11-24 22:35
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//