《逆向工程核心原理》学习笔记3

发表于 更新于 阅读次数: Valine:
本文字数: 269 阅读时长 ≈ 1 分钟
  1. windows程序运行在Ring 3级,但要运行在内核级(Ring 0),使用API请求,API存储在dll中
  2. FFFFFFFF==-1
  3. 双击可改变FLAG 寄存器值
  4. 双击EIP回去 in ollydbg
  5. info 从一个API中返回总在EAX中
  6. PE文件。内存节区头要在各自最小基本单位的倍数上,所以使用NULL填充
  7. RVA+imageBase==VA(绝对地址)
  8. PE头内部使用RVA
  9. 4D5A =,,,MZ (PE文件开头,IMAGE_DOS_HEADER)
  10. INTEL 小端序::e_lfanew==000000E0
  11. 32位EXE ImageBase == 00400000