GetProcAddress不返回LoadLibraryA的实际地址
DWORD dwLoadLibrary = (DWORD)GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryA");
当我转到OllyDbg中的返回地址时,我可以看到该地址指向跳转到LoadLibraryA的实际地址的代码。我想得到LoadLibraryA的真实地址,因为kernel32.dll是在每个进程的同一位置加载的,所以它不会改变,我也想知道为什么GetProcAddress没有返回真实地址。
3 个答案:
答案 0 :(得分:5)
您正在获取kernel32.LoadLibraryA的“真实”地址,因为GetProcAddress()会返回真实地址。只是kernel32.LoadLibrayA的实施已从kernel32.dll移至kernelbase.dll,因此kernel32.LoadLibraryA只包含一条指令:
jmp dword ptr[kernelbase.LoadLibraryA]
如果您在kernel32.dll中查看更多功能,其中许多功能也具有相同的模式:
kernel32.somefunc:
jmp [kernelbase.somefunc]
答案 1 :(得分:1)
这是LoadLibraryA的“真实”地址。跳转指令用于在那里放置间接的工具。他们会将该跳转的目标地址与其他东西交换,指向钩子,并在执行钩子后跳转到原始位置以实际执行该函数。
答案 2 :(得分:1)
你怎么知道它不是LoadLibraryA的真实地址?也许试试WinDbg?
在我的Windows 8系统上GetProcAddress(x, "LoadLibraryA")返回一个以正常mov edi,edi hotpatch预留(以及函数的其余部分)开头的函数,但这并不意味着它无法以跳转开始在其他版本中。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?