Всем до боли знакомый способ получения адреса загрузки динамической kernel32.dll посредством доступа к PEB:
.code:0040100A 64 A1 30 00 00+ mov eax, large fs:30h
.code:00401010 8B 40 0C mov eax, [eax+0Ch]
.code:00401013 8B 40 1C mov eax, [eax+1Ch]
.code:00401016 8B 00 mov eax, [eax]
.code:00401018 8B 40 08 mov eax, [eax+8]
После свой работы на Windows 7 x64, поверг меня немного в изумление ;) по найденому адресу распологается совсем другая динамическая библеотека, это kernelbase।dll. Нет, я конечно слышал об отличиях, но столкнулся на практике только сегодня )))
Об этом можно почитать тут и здесь . Весьма ясно и не противоречиво написанно чего и где находится и как искать нужное ! ;)
Сообщения
Комментариев нет:
Отправить комментарий