【发布时间】:2018-10-05 16:35:15
【问题描述】:
考虑像 CALL DWORD PTR 44244100 这样的指令,它在汇编程序中导入和使用 DLL 函数。我们知道该指令使用的地址是相对虚拟地址 (RVA)。
1.那为什么我在LordPE软件的Thunk值字段中跟踪那段代码时,会达到另一个VA值?
2.User32 或 Kernel32 等 DLL 是否总是以特定的 VA 加载或不一定? 如果不是这样,Loader 如何识别上面提到的地址属于哪个 DLL?通过在名称表中搜索?! 我的意思是这个地址是不变的,所以如果加载的dll的位置也是固定的,那么应该先给这个地址分配另一个VA。
谢谢大家。
【问题讨论】:
标签: windows assembly x86 portable-executable