Win加载exe

1、OD 加载exe --> 运行到用户代码，断下之后 --> 堆栈窗口 ESP 右击数据窗口中跟随 --> 将数据窗口的下拉框拉到最下面

　　(或者直接看堆栈窗口)

　　如下图：

　　ZC: 此图效果为 XPsp3中的效果，有如下信息：

　　　　(1)、此时的 ESP值为 0012FFC4，其值正好就是调用kernel32.7C817067 (也就是即将调用 ExitThread)

　　　　(2)、程序正常结束后，就会执行 ExitThread

　　　　(3)、7C817044 这个函数叫什么名字？(看了 OD中kernel32.dll的加载地址为 7C800000)用VC6的Depends看了一下，貌似是一个没有名字的函数(未公开导出？)，如下图：

　　　　　　ZC: 只知道它位于 RegisterWaitForInputIdle 的下面。

2、

3、

posted @ 2016-06-24 09:34 DebugSkill 阅读(191) 评论(0) 编辑收藏举报

刷新页面返回顶部

DebugSkill