如何获取模块的入口地址.-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 2 楼 ntdll!_IMAGE_OPTIONAL_HEADER +0x000 Magic : Uint2B +0x002 MajorLinkerVersion : UChar +0x003 MinorLinkerVersion : UChar +0x004 SizeOfCode : Uint4B +0x008 SizeOfInitializedData : Uint4B +0x00c SizeOfUninitializedData : Uint4B +0x010 AddressOfEntryPoint : Uint4B +0x014 BaseOfCode : Uint4B +0x018 BaseOfData : Uint4B +0x01c ImageBase : Uint4B +0x020 SectionAlignment : Uint4B +0x024 FileAlignment : Uint4B +0x028 MajorOperatingSystemVersion : Uint2B +0x02a MinorOperatingSystemVersion : Uint2B +0x02c MajorImageVersion : Uint2B +0x02e MinorImageVersion : Uint2B +0x030 MajorSubsystemVersion : Uint2B +0x032 MinorSubsystemVersion : Uint2B +0x034 Win32VersionValue : Uint4B +0x038 SizeOfImage : Uint4B +0x03c SizeOfHeaders : Uint4B +0x040 CheckSum : Uint4B +0x044 Subsystem : Uint2B +0x046 DllCharacteristics : Uint2B +0x048 SizeOfStackReserve : Uint4B +0x04c SizeOfStackCommit : Uint4B +0x050 SizeOfHeapReserve : Uint4B +0x054 SizeOfHeapCommit : Uint4B +0x058 LoaderFlags : Uint4B +0x05c NumberOfRvaAndSizes : Uint4B +0x060 DataDirectory : [16] _IMAGE_DATA_DIRECTORY 可根据红色部分获取到 2008-12-14 16:08 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 3 楼俺德天啊!这是什么语言. 入口地址是一直固定的吗? 2008-12-14 16:12 0
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 4 楼去看下WINPE结构，你就清楚了。 2008-12-14 16:13 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 5 楼《加密与解密》第三版里面有吗? 2008-12-14 16:15 0
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 6 楼有的。 123456 2008-12-14 16:16 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 7 楼还得再绕一圈,但不知最终是否能明白,呵呵 2008-12-14 16:27 0
veninson 雪币： 215 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 102 粉丝 0 关注私信	veninson 8 楼是要这个吗？或者是下面代码里定义了没用上的ModInfo.EntryPoint？忘了怎么获取ModInfo了，网上到处抄VC改的 uses psapi; Function GetModuleBase(mName: String):Dword; var Mods: array [0..1024] of HMODULE; ModInfo: TModuleInfo; cbNeeded, i: Dword; ModName: array[0..254] of char; begin if EnumProcessModules(hProcess, @Mods[0], SizeOf(Mods), cbNeeded) then begin for i := 0 to cbNeeded - 1 do begin if (Mods[i]<>0)and(GetModuleBaseName(hProcess, Mods[i], @ModName, SizeOf(ModName))>0) then begin GetModuleInformation(hProcess, Mods[i], @ModInfo, SizeOf(ModInfo)); if POS(LowerCase(mName),LowerCase(ModName))>0 then begin result := Mods[i]; Exit; end; end; end; end; result := 0; end; 2008-12-14 18:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 2 楼 ntdll!_IMAGE_OPTIONAL_HEADER +0x000 Magic : Uint2B +0x002 MajorLinkerVersion : UChar +0x003 MinorLinkerVersion : UChar +0x004 SizeOfCode : Uint4B +0x008 SizeOfInitializedData : Uint4B +0x00c SizeOfUninitializedData : Uint4B +0x010 AddressOfEntryPoint : Uint4B +0x014 BaseOfCode : Uint4B +0x018 BaseOfData : Uint4B +0x01c ImageBase : Uint4B +0x020 SectionAlignment : Uint4B +0x024 FileAlignment : Uint4B +0x028 MajorOperatingSystemVersion : Uint2B +0x02a MinorOperatingSystemVersion : Uint2B +0x02c MajorImageVersion : Uint2B +0x02e MinorImageVersion : Uint2B +0x030 MajorSubsystemVersion : Uint2B +0x032 MinorSubsystemVersion : Uint2B +0x034 Win32VersionValue : Uint4B +0x038 SizeOfImage : Uint4B +0x03c SizeOfHeaders : Uint4B +0x040 CheckSum : Uint4B +0x044 Subsystem : Uint2B +0x046 DllCharacteristics : Uint2B +0x048 SizeOfStackReserve : Uint4B +0x04c SizeOfStackCommit : Uint4B +0x050 SizeOfHeapReserve : Uint4B +0x054 SizeOfHeapCommit : Uint4B +0x058 LoaderFlags : Uint4B +0x05c NumberOfRvaAndSizes : Uint4B +0x060 DataDirectory : [16] _IMAGE_DATA_DIRECTORY 可根据红色部分获取到 2008-12-14 16:08 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 3 楼俺德天啊!这是什么语言. 入口地址是一直固定的吗? 2008-12-14 16:12 0
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 4 楼去看下WINPE结构，你就清楚了。 2008-12-14 16:13 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 5 楼《加密与解密》第三版里面有吗? 2008-12-14 16:15 0
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 6 楼有的。 123456 2008-12-14 16:16 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 7 楼还得再绕一圈,但不知最终是否能明白,呵呵 2008-12-14 16:27 0
veninson 雪币： 215 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 102 粉丝 0 关注私信	veninson 8 楼是要这个吗？或者是下面代码里定义了没用上的ModInfo.EntryPoint？忘了怎么获取ModInfo了，网上到处抄VC改的 uses psapi; Function GetModuleBase(mName: String):Dword; var Mods: array [0..1024] of HMODULE; ModInfo: TModuleInfo; cbNeeded, i: Dword; ModName: array[0..254] of char; begin if EnumProcessModules(hProcess, @Mods[0], SizeOf(Mods), cbNeeded) then begin for i := 0 to cbNeeded - 1 do begin if (Mods[i]<>0)and(GetModuleBaseName(hProcess, Mods[i], @ModName, SizeOf(ModName))>0) then begin GetModuleInformation(hProcess, Mods[i], @ModInfo, SizeOf(ModInfo)); if POS(LowerCase(mName),LowerCase(ModName))>0 then begin result := Mods[i]; Exit; end; end; end; end; result := 0; end; 2008-12-14 18:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复