Я создал дочерний процесс из моего процесса с помощью CreateProcess() (на C++). Затем я продолжаю использовать ReadProcessMemory для чтения памяти и поиска чего-то определенного.Как получить точку входа дочернего процесса?
Я хотел бы начать поиск с точки входа этого процесса, так как процесс загружается в его собственное виртуальное пространство. Я понятия не имею, как узнать точку входа для самого кода (I dont заботиться о других разделах PE-файла), Мне известно о поле «AddressOfEntryPoint» в формате PE, и у меня его уже есть, но поскольку я понятия не имею, на каком адресе этот процесс будет загружен, как я могу вычислить точку входа сам?
, чтобы продемонстрировать то, что я хочу, если открыть процесс с OllyDbg, например, вы сразу достигнете точки входа для кода, я хочу, чтобы этот адрес
помнить, что это дочерний процесс, который я создал, если это помогает
позвольте мне сказать, что я не хочу, чтобы ввести любой код или DLL в этой заявке узнать, что адрес
Я знал об этом факте, но я испытал против некоторых процессов, в основном, один я пытаюсь работать в качестве базового изображения: и точка входа в: 0000311D Я бы ожидать, что это be at 0040311D , но когда я использую ollydbg для просмотра реальной точки входа кода, я получаю: 010E311D Как это было сделано? – user112771
Хм, проверен на случайный исполняемый файл в ollydbg, и он работает. Может быть, только для некоторых exes, хотя ... – Eugene
Говорит ли ollydbg, что база изображений - 00400000? – Eugene