Где в PEB-е лежит EntryPoint модуля?

Flint_ta
РАБОТАЕТ!!!!!!!!!!!!
ВОТ ЭТО ОНО!!!!!!!!!!!!!!!!!!!!
РЕСПЕКТ!!!!!! ОГРОМНЫЙ, МЕГА!!!!!!!!!!!!!!!!!!

 

dyn

Если ты не знаешь что такое база данных загрузчика, то тебе не место на этом форуме.
Нет возможности получить еп из лдр, то получайте из ядра(ProcessImageInformation, SECTION_IMAGE_INFORMATION.TransferAddress возвратит оеп.)

 

Indy
оффтоп:
"Ищите в базе данных" - понятие растяжимое. Особенно если учесть, что вы используете свою терминологию, расходящуюся с общепринятой.
База данных, P-код, самомодифицируйщийся код... Есть примеры. Всех и не вспомню.
Или я должен был телепатически угадывать, что вы имеете ввиду LDR_DATA?

 

dyn
PEB это среда окружения процесса, TEB потока. Содержат переменные и прочий конфиг, в частности линк на базу данных загрузчика. Это PPEB_LDR_DATA. Неужеле так трудно в гугл вбить какойнибудь термин не понимаю.

 

Clerk
Гугл - первое, что я сделал

вот результат

Вобщем ладно, пофиг
Не дорос я еще, чтобы с вами на форуме сраццо Уровень у меня пониже.
Пойду маны покурю лучше и кодес дописывать буду...

 

Почему OEP? OEP - у измененных(упакованных) файлов -- поэтому аббревиатура Оригинальная Точка Входа

 

JCronuz

OEP хранится в ядре, это значение из опционального хидера модуля. Но так как ThreadQuerySetWin32StartAddress позволяет изменить из юзермода OEP, то извлекается инфа из секции, где её изменить нельзя, вне зависимости от состояния проекции/памяти. Например изменили вы образ экзешника, либо вобще анмапнули его, посредством ProcessImageInformation вы получите OEP.