2012年5月10日

PEB-------------模块链表Ldr

摘要: 一、xp下peb结构kd> dt _pebntdll!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutant : Ptr32 Void +0x008 ImageBaseAddress : Ptr32 Void +0x00c Ldr : Ptr32 _PEB_LDR_DATA;进程加载的模块链表 +0x010 ProcessParameters : 阅读全文

posted @ 2012-05-10 16:37 紫 陌 阅读(3375) 评论(0) 推荐(1) 编辑

PE文件格式--------------重定位

摘要: 一、关于重定位1、直接寻址指令需要重定位。如:mov eax, dword ptr [4000c0h]注意:call 401000h 是相对寻址,不需要重定位。请问 call [401000h]需要重定位吗?2、重定位需要的信息:重定位地址、实际装载地址、建议装载地址。二、重定位数据结构IMAGE_ BASE_RELOCATION struct VirtualAddress dd ;重定位内存页首地址RVASizeOfBlock dd ;重定位块大小,包含本结构在内的大小IMAGE_BASE_RELOCATION ends1、该结构后面紧跟的是word型的重定位项。2、重定位地址的 RVA = 阅读全文

posted @ 2012-05-10 08:38 紫 陌 阅读(1746) 评论(0) 推荐(0) 编辑

导航