问个关于DLL地址的问题

yangff · 发表于 2011-11-19 17:29:13

您需要登录才可以下载或查看，没有帐号？注册会员

x

对于一个DLL我base=LoadLibrary("XXX.DLL");
我知道他的一个函数入口在IDA里面的地址时r=0x123a89
那这个函数的ProcAddress是
base+r吗？

第七水螰 · 发表于 2011-11-20 02:31:48

雖然沒試驗過，但理論上來說只要獲取到重定位後 DLL 段首地址到運行時的 IAT 中該函數地址那麼多的偏移量便成了。不過，你需要直接獲取 DLL 段的地址，而不是 LoadLibrary 返回的句柄，那個句柄是個不透明的數據結構，一個隱藏了底層數據的靈巧指針。

yangff · 发表于 2011-11-20 20:20:13

第七水螰发表于 2011-11-20 02:31
雖然沒試驗過，但理論上來說只要獲取到重定位後 DLL 段首地址到運行時的 IAT 中該函數地址那麼多的偏移量便 ...

这地址怎么取？有人说LoadLibrary的地址就是DLL入口点……还有我那到的不是IAT里面的地址，是我用IDA静态反汇编出来的（这函数根本没导出……）函数入口点地址函数实际代码开始的地址，要不要做什么转换？

帐号		自动登录	找回密码
密码			注册会员

[讨论] 问个关于DLL地址的问题