递归火山软件开发平台

标题: 交流个汇编问题. [打印本页]

作者: urenai 时间: 2021-11-18 10:23
标题: 交流个汇编问题.
我想通过ebp+4得到回跳地址所在模块句柄、

**了一下有2个api可以搞定，可我win7 64下获取失败。
RtlLookupFunctionEntry
RtlPcToFileHeader

我单独复制出kernel32.dll库查看， 32位库里面有该导出函数。64位库没有该导出函数。
因为我编译的是win32位软件。应该没道理啊。

于是，我打开OD查看加载模块发现：所加载的kernel32.dll正是SysWOW64目录下的。

无奈，各位大表哥有没有办法搞定呢？

作者: 福寿 时间: 2021-11-18 12:31
SysWOW64目录意思就是在64位系统上的32位目录，32位的话跟进去kernel32.dll在SysWOW64目录下有什么奇怪啊，你打开C:\Windows\SysWOW64这个目录下看看就知道了

作者: urenai 时间: 2021-11-19 10:29

福寿发表于 2021-11-18 12:31
SysWOW64目录意思就是在64位系统上的32位目录，32位的话跟进去kernel32.dll在SysWOW64目录下有什么奇怪啊， ...

人才啊，这么多年了，我才发现。

我查库信息才发现【SysWOW64】的是32bit的。【System32】才是64bit的。真实虚晃一强好几年啊。

作者: urenai 时间: 2021-11-19 10:30
我唔知了。

欢迎光临递归火山软件开发平台 (https://bbs.voldp.com/)