Получение базы wow64 DLL из 64-битного процесса

Тема в разделе "WASM.WIN32", создана пользователем jeer0, 12 апр 2018.

  1. jeer0

    jeer0 New Member

    Публикаций:
    0
    Регистрация:
    31 июл 2017
    Сообщения:
    27
    Всем привет. Как из 64-битного процесса получить базовый адрес системной wow64 DLL, по которому она загружается во все wow64-процессы? Можно, конечно, прочитать её из любого доступного wow64-процесса, получив адрес его wow64 peb (NtQueryInformationProcess) и пройтись по LDR_DATA. Но может, есть способ проще?
     
  2. superakira

    superakira Active Member

    Публикаций:
    0
    Регистрация:
    2 июн 2008
    Сообщения:
    342
    jeer0, нет. юзай этот. он работает везде.
     
  3. jeer0

    jeer0 New Member

    Публикаций:
    0
    Регистрация:
    31 июл 2017
    Сообщения:
    27
    Хорошо, с практической стороной все понятно. Но у меня остался чисто спортивный интерес: где винда запоминает базовые адреса, рандомизирующиеся ASLR-ом при каждой загрузке.
     
  4. superakira

    superakira Active Member

    Публикаций:
    0
    Регистрация:
    2 июн 2008
    Сообщения:
    342
    jeer0, зачем ей их запоминать? она их рандомом +/- сегенрила.
     
  5. jeer0

    jeer0 New Member

    Публикаций:
    0
    Регистрация:
    31 июл 2017
    Сообщения:
    27
    superakira, она их сгенерила при загрузке системы. И помнит до следующей перезагрузки.
     
  6. superakira

    superakira Active Member

    Публикаций:
    0
    Регистрация:
    2 июн 2008
    Сообщения:
    342
    jeer0, а ты в этом ключе. я не вижу смысла копать. все равно опрашиваю всегда с 0