没有 IAT 的 kernel32.BaseThreadInitThunk

逆向工程 视窗 dll 我在
2021-06-18 01:39:22

notepad.exeOllydbg开始,我看到它eax的值指向kernel32.BaseThreadInitThunk.

notepad.exe好像没有导入kernel32.dll::BaseThreadInitThunk我无法通过在notepad.exe.

如何kernel32.dll::BaseThreadInitThunk在不导入的情况下执行函数?

1个回答

这只是一个巧合。有时会发生寄存器中的值是一些与应用程序无关的有效 api 的地址。作为参考,请参阅这些图像。

我已经在 OllyDbg2 中加载了 OllyDbg2。OllyDbg2 不导入kernel32.dll::BaseThreadInitThunk

在 Windows 7 中 Windows 7 中的 Ollydbg

在 Windows XP 中 Windows XP 中的 Ollydbg

在 Windows 7 的入口点上, 的值eax是 的地址BaseThreadInitThunk但是在 Windows XP 上, 的值为eax0。

其它你可能感兴趣的问题
上一篇如果没有明显的系统调用,是否可以进行数据泄露? 下一篇使用 ADD 和 SUB 程序集操作存储值。为什么?