首页
社区
课程
招聘
[求助]PEview查看image base同windbg查看的image base不同
发表于: 2009-2-19 21:57 5211

[求助]PEview查看image base同windbg查看的image base不同

2009-2-19 21:57
5211
PROCESS 85add928  SessionId: 0  Cid: 0d9c    Peb: 7ffdb000  ParentCid: 0594
    DirBase: 06d004c0  ObjectTable: e3f335b8  HandleCount:  52.
    Image: NOTEPAD.EXE

lkd> dt !_EPROCESS 85add928  
nt!_EPROCESS
。。。。。。。。。。。。。。。。。。。。。。。。。。
   +0x1b0 Peb              : 0x7ffdb000 _PEB
。。。。。。。。。。。。。。。。。。。。。。。。。。
lkd> dt !_PEB 0x7ffdb000
nt!_PEB
  。。。。。。。。。。。。。。。。。。。。。。。。
   +0x004 Mutant           : 0x00fe0000
   +0x008 ImageBaseAddress : 0x00fde000
   +0x00c Ldr              : (null)
   +0x010 ProcessParameters : 0x00001e00 _RTL_USER_PROCESS_PARAMETERS
   

上面是使用windbg得到的,ImageBaseAddress,
使用PEview查看image_optional_header得到的是0x01000000
不明白~~。望哪位大侠指点一二。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 171
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
ImageBase是windows建议装入地址
可以被PEloader改变,所以不同是正常的
2009-2-21 03:36
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
但是我使用da 0x01000000查看,确实是以MZ开头的,说明加载的ImageBase确实是
以0x01000000开始的。
要说是dll加载后更改基址我认为是可能的,但是毕竟应当是notepad。exe先加载啊
2009-2-21 20:51
0
雪    币: 2512
活跃值: (672)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
4
+0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 SpareBool        : UChar
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void

   ImageBaseAddress应该是个指针!!!!不然为什么不标成ImageBase呢!!
2009-2-21 21:58
0
游客
登录 | 注册 方可回帖
返回
//