首页
社区
课程
招聘
[求助]dll里的函数名字有点怪
发表于: 2009-2-12 18:51 4628

[求助]dll里的函数名字有点怪

2009-2-12 18:51
4628
用PE查看kernel32.dll的输出函数。。
序号为           名称
007A   ... ...        DecodePointer -> NTDLL.RtlDecodePointer

这是什么意思呢?
是完整的函数名还是它直接调用后者.

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
2
请查看导入目录表项中的Forwarder Chain字段的意义。

“DecodePointer -> NTDLL.RtlDecodePointer”的意思,就是说加载器处理导入函数表,填充导入地址表时,用NTDLL.RtlDecodePointer的地址来填充本来该DecodePointer的项。

换句话说,就是说kernel32中的DecodePointer函数被重新定向到了ntdll中的RtlDecodePointer。
2009-2-12 21:47
0
游客
登录 | 注册 方可回帖
返回
//