汇编语言获取kernel32基址问题
这段话运行了10多次得到kernel32都为75cc0000pusheax;moveax,dwordptrfs:[0x30];moveax,[eax+0x0c];move...
这段话运行了10多次得到kernel32都为75cc0000
push eax;
mov eax, dword ptr
fs:[0x30];
mov eax, [eax + 0x0c];
mov eax, [eax + 0x1c];
mov eax,
[eax];
mov eax, [eax + 0x08];
mov addrkernel32, eax;
pop eax;
用ida查看kernel32的imagebase得到的却是 7DD60000
请问这是什么原因,是我汇编代码有错误还是因为重定位的关系 展开
push eax;
mov eax, dword ptr
fs:[0x30];
mov eax, [eax + 0x0c];
mov eax, [eax + 0x1c];
mov eax,
[eax];
mov eax, [eax + 0x08];
mov addrkernel32, eax;
pop eax;
用ida查看kernel32的imagebase得到的却是 7DD60000
请问这是什么原因,是我汇编代码有错误还是因为重定位的关系 展开
1个回答
推荐于2017-07-01
展开全部
你这个代码拿的是LdrOrder的第二个对象吧,在XP下第二个确实是kernel32.dll,但在win7,第二个是kernelbase.dll,第三个才是kernel32.dll啊 少年
追问
哦,原来是这样啊
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询