首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
编程技术
发新帖
0
0
[求助]PEview查看image base同windbg查看的image base不同
发表于: 2009-2-19 21:57
5211
[求助]PEview查看image base同windbg查看的image base不同
icunow
2009-2-19 21:57
5211
PROCESS 85add928 SessionId: 0 Cid: 0d9c Peb: 7ffdb000 ParentCid: 0594
DirBase: 06d004c0 ObjectTable: e3f335b8 HandleCount: 52.
Image: NOTEPAD.EXE
lkd> dt !_EPROCESS 85add928
nt!_EPROCESS
。。。。。。。。。。。。。。。。。。。。。。。。。。
+0x1b0 Peb : 0x7ffdb000 _PEB
。。。。。。。。。。。。。。。。。。。。。。。。。。
lkd> dt !_PEB 0x7ffdb000
nt!_PEB
。。。。。。。。。。。。。。。。。。。。。。。。
+0x004 Mutant : 0x00fe0000
+0x008 ImageBaseAddress : 0x00fde000
+0x00c Ldr : (null)
+0x010 ProcessParameters : 0x00001e00 _RTL_USER_PROCESS_PARAMETERS
上面是使用windbg得到的,ImageBaseAddress,
使用PEview查看image_optional_header得到的是0x01000000
不明白~~。望哪位大侠指点一二。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
3
)
shuaiAWP
雪 币:
171
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
6
回帖
35
粉丝
0
关注
私信
shuaiAWP
2
楼
ImageBase是windows建议装入地址
可以被PEloader改变,所以不同是正常的
2009-2-21 03:36
0
icunow
雪 币:
206
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
6
回帖
12
粉丝
0
关注
私信
icunow
3
楼
但是我使用da 0x01000000查看,确实是以MZ开头的,说明加载的ImageBase确实是
以0x01000000开始的。
要说是dll加载后更改基址我认为是可能的,但是毕竟应当是notepad。exe先加载啊
2009-2-21 20:51
0
暗夜盗魔
雪 币:
2512
活跃值:
(672)
能力值:
( LV7,RANK:100 )
在线值:
发帖
17
回帖
62
粉丝
84
关注
私信
暗夜盗魔
1
4
楼
+0x000 InheritedAddressSpace : UChar
+0x001 ReadImageFileExecOptions : UChar
+0x002 BeingDebugged : UChar
+0x003 SpareBool : UChar
+0x004 Mutant : Ptr32 Void
+0x008 ImageBaseAddress : Ptr32 Void
ImageBaseAddress应该是个指针!!!!不然为什么不标成ImageBase呢!!
2009-2-21 21:58
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
icunow
6
发帖
12
回帖
10
RANK
关注
私信
他的文章
[求助]由FS寄存器如何得到kernel32.dll地址
4803
[讨论]WRK1.2中断处理中MiResolveMappedFileFault函数试读
4752
[求助]如何通过!object命令得到当前的地址是什么对象?
5996
[求助]读隐藏进程中的模块绕过IceSword的检测的疑惑
6773
[求助]PEview查看image base同windbg查看的image base不同
5212
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部