标签: x86 portable-executable entry-point
我遇到的问题是非.net,x86机器类型,我在虚拟机上分析的pe32可执行恶意软件。入口点字段不是NULL,因此这将排除从0x0开始的执行。
当我在挂起状态下创建进程后在入口点打破调试器时,该程序正在管理在入口点之前获取调用。我在这里有点困惑,这究竟能起作用吗?
答案 0 :(得分:2)
系统在应用程序入口点之前调用TLS(线程局部存储)回调。这是一个blogpost。