那些遇到过的问题

GetProcAddress不返回LoadLibraryA的实际地址

Xor*_*Xor 2 windows dll assembly winapi loadlibrary 

DWORD dwLoadLibrary = (DWORD)GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryA");
Run Code Online (Sandbox Code Playgroud)

当我转到OllyDbg中的返回地址时,我可以看到该地址指向跳转到LoadLibraryA的实际地址的代码.我想得到LoadLibraryA的真实地址,它不会改变,因为kernel32.dll在每个进程的同一位置加载,我也想知道为什么GetProcAddress不返回真实地址.

在此输入图像描述

RbM*_*bMm 5

您将获得"真实"地址kernel32.LoadLibraryA,作为GetProcAddress()返回真实地址.只是因为实现kernel32.LoadLibrayA已经从而转移kernel32.dll到了kernelbase.dll,因此kernel32.LoadLibraryA只需要一条指令:

jmp dword ptr[kernelbase.LoadLibraryA]
Run Code Online (Sandbox Code Playgroud)

如果您查看更多函数kernel32.dll,其中许多函数也具有相同的模式:

kernel32.somefunc:
    jmp [kernelbase.somefunc]
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

374 次

最近记录:

9 年 前
相关归档
如何让QtLinguist随Qt 5.9.1一起发货? 12
如何在Delphi中动态调用命名过程或函数 9
Windows替代pexpect 9
Virtualenv继续在Windows上加载全局站点包 7
更改windows kit常用安装路径 7
Tiny C Compiler生成的代码会发出额外的(不必要的?)NOP和JMP 7
是否可以从 vb.net dll 中的 dll 导入 c# 类? 5
winapi:从HDC到HBITMAP 1
为什么在Windows 7机器上的Qt Creator中_WIN32_WINNT == 0x400? 0
Delphi到ASM - 如何在ASM中创建对象? 0
难疑归档
堆栈和堆的内容和位置是什么? 7847
应该在JavaScript比较中使用哪个等于运算符(== vs ===)? 5666
Spring中的@ Component,@ Repository和@Service注释有什么区别? 1969
什么是非捕获组?(?:)做什么? 1653
查看未发布的Git提交 1649
从Git提交中删除文件 1484
将文件从Docker容器复制到主机 1438
"javascript:void(0)"是什么意思? 1292
漂亮的git分支图 1290
在Python中创建一个包含列表推导的字典 1216