递归火山软件开发平台

标题: 怎么检测代码是否在DLL 或 exe中运行 [打印本页]

作者: Coco 时间: 2022-6-13 09:55
标题: 怎么检测代码是否在DLL 或 exe中运行
本帖最后由 Coco 于 2022-6-13 10:01 编辑

怎么检测代码是否在DLL 或 exe中运行

作者: 火绒 时间: 2022-6-13 10:03
本帖最后由火绒于 2022-6-13 14:59 编辑

。

作者: fengshangren 时间: 2022-6-13 11:56
问的不清不楚

作者: 005 时间: 2022-6-13 11:59
检测领空。

作者: 005 时间: 2022-6-13 12:01
本帖最后由 005 于 2022-6-13 19:31 编辑

进程领空一般在0x0400000 类库领空进程后面，

0x07 还是0x7xxxxxxx（系统领空）

作者: Coco 时间: 2022-6-13 13:23

005 发表于 2022-6-13 12:01
进程领空一般在0x0400000 类库领空进程后面，0x07 还是0x7xxxxxxx

(, 下载次数: 32)
我这么理解对不对：判断这个开头是 0x07.... 就可以断定它是个DLL
如果是这样的话，再请教一下，怎么才能得到这个地址啊

作者: tmf19901124 时间: 2022-6-13 13:30
GetModuleHandle 获取主模块句柄，并获取模块名，然后在GetModuleHandle(0)获取自身模块句柄和模块名，判断是否相等

作者: tmf19901124 时间: 2022-6-13 13:32
还有一种方法就是，获取到模块句柄后，找pe里面的标志，判断是dll还是exe 这应该是常规做法上面那种方法简单粗暴

作者: Coco 时间: 2022-6-13 13:46

tmf19901124 发表于 2022-6-13 13:32
还有一种方法就是，获取到模块句柄后，找pe里面的标志，判断是dll还是exe 这应该是常规做法上面那种方法 ...

感谢大佬

作者: 005 时间: 2022-6-13 19:35

Coco 发表于 2022-6-13 13:23
我这么理解对不对：判断这个开头是 0x07.... 就可以断定它是个DLL
如果是这样的话，再请教一下，怎么才 ...

我话没说完整，0x xx7 的这种一般是系统领空，
0x xx4 的这种一般是进程开头。后面接着用户级类库DLL

欢迎光临递归火山软件开发平台 (https://bbs.voldp.com/)