怎么检测代码是否在DLL 或 exe中运行

Coco · 发表于 2022-6-13 09:55:53

本帖最后由 Coco 于 2022-6-13 10:01 编辑

怎么检测代码是否在DLL 或 exe中运行

火绒 · 发表于 2022-6-13 10:03:01

本帖最后由火绒于 2022-6-13 14:59 编辑

。

fengshangren · 发表于 2022-6-13 11:56:04

问的不清不楚

005 · 发表于 2022-6-13 11:59:32

检测领空。

005 · 发表于 2022-6-13 12:01:40

本帖最后由 005 于 2022-6-13 19:31 编辑

进程领空一般在0x0400000 类库领空进程后面，

0x07 还是0x7xxxxxxx（系统领空）

Coco · 发表于 2022-6-13 13:23:00

005 发表于 2022-6-13 12:01
进程领空一般在0x0400000 类库领空进程后面，0x07 还是0x7xxxxxxx

我这么理解对不对：判断这个开头是 0x07.... 就可以断定它是个DLL
如果是这样的话，再请教一下，怎么才能得到这个地址啊

tmf19901124 · 发表于 2022-6-13 13:30:36

GetModuleHandle 获取主模块句柄，并获取模块名，然后在GetModuleHandle(0)获取自身模块句柄和模块名，判断是否相等

tmf19901124 · 发表于 2022-6-13 13:32:12

还有一种方法就是，获取到模块句柄后，找pe里面的标志，判断是dll还是exe 这应该是常规做法上面那种方法简单粗暴

Coco · 发表于 2022-6-13 13:46:08

tmf19901124 发表于 2022-6-13 13:32
还有一种方法就是，获取到模块句柄后，找pe里面的标志，判断是dll还是exe 这应该是常规做法上面那种方法 ...

感谢大佬

005 · 发表于 2022-6-13 19:35:47

Coco 发表于 2022-6-13 13:23
我这么理解对不对：判断这个开头是 0x07.... 就可以断定它是个DLL
如果是这样的话，再请教一下，怎么才 ...

我话没说完整，0x xx7 的这种一般是系统领空，
0x xx4 的这种一般是进程开头。后面接着用户级类库DLL

		自动登录	找回密码
密码			立即注册

[视窗] 怎么检测代码是否在DLL 或 exe中运行