Где достать AddressOfEntryPoint если заголовок битый??

Тема в разделе "WASM.WIN32", создана пользователем int2e, 16 янв 2009.

  1. int2e

    int2e New Member

    Публикаций:
    0
    Регистрация:
    9 янв 2009
    Сообщения:
    169
    Инжектируемый код должен достать адресс точки входа длл, при условии, что ре-заголовок битый
    Поскольку даже при битом хидере, на определенные события (DLL_THREAD_ATTACH) например срабатывает DLL_MAIN, то значит, адрес должен храниться где-то еще, кроме хидера. Вопрос - где?

    Есть подозрения, что в ТЕБе... А как его оттуда выудить?
     
    int2e, 16 янв 2009
    #1
  2. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    PLDR_DATA_TABLE_ENTRY->EntryPoint
     
    n0name, 16 янв 2009
    #2
  3. int2e

    int2e New Member

    Публикаций:
    0
    Регистрация:
    9 янв 2009
    Сообщения:
    169
    Странно, но там лежит Энтри в нтдлл...

    Система Vista sp1
     
    int2e, 16 янв 2009
    #3
  4. int2e

    int2e New Member

    Публикаций:
    0
    Регистрация:
    9 янв 2009
    Сообщения:
    169
    разобрался
    там двусвязанный список. По нему нужно пройтись и найти нужный модуль.
     
    int2e, 16 янв 2009
    #4
  5. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    дык ты ж не первый модуль бери - полистай чуть дальше
     
    MSoft, 16 янв 2009
    #5