c - 将ntdll.Kernel32ThreadInitThunkFunction相关问题

将ntdll.Kernel32ThreadInitThunkFunction相关问题

时间：2018-02-28 00:57:23

标签： c windows-kernel

Kernel32ThreadInitThunkFunction这个全局变量不是在ntdll里面导入的，但是他的值是kernel32.BaseThreadInitThunk函数这是为什么？ PE如何知道在加载ntdll时需要加载kernel32.BaseThreadInitThunk？

1 个答案:

答案 0 :(得分：0)

Kernel32ThreadInitThunkFunction是ntdll.dll内的全局变量。 ntdll.dll只是单个dll，它最初从内核加载（使用exe）。这个DLL必须没有任何依赖，任何静态导入。在进程初始化ntdll.dll期间，如果这不是CLR映像，子系统是IMAGE_SUBSYSTEM_WINDOWS_GUI或IMAGE_SUBSYSTEM_WINDOWS_CUI - 加载 kernel32.dll ，请查询{{ 1}}函数并将其指针存储在BaseThreadInitThunk中。它在开始调用dll init例程之前调用它来初始化终端服务器

与Wpf相关的问题
Redmine及相关问题
TFS设置相关问题
SSL相关问题
Windows DPI相关问题
UI相关问题验证
缓存相关问题codenameone
与getElementByTagName相关的问题
春季启动相关问题
将ntdll.Kernel32ThreadInitThunkFunction相关问题

我写了这段代码，但我无法理解我的错误
我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？
是否有可能使 loadstring 不可能等于打印？卢阿
java中的random.expovariate()
Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
为什么我的 Onclick 箭头功能在 React 中不起作用？
在此代码中是否有使用“this”的替代方法？
在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化
每千个数字得到
更新了城市边界 KML 文件的来源？