0
我遇到了一個非虛擬機上正在分析的非.net,x86機器類型,pe32可執行的惡意軟件問題。入口點字段不是NULL,因此這排除了從0x0開始執行。PE header入口點RVA
當我在創建處於掛起狀態的進程之後在入口點處與調試器斷開時,此程序設法在入口點之前發出調用。我在這裏有點困惑,這個工作到底如何?
A
回答
2
系統在應用程序入口點之前調用TLS(線程本地存儲)回調。這是關於這個的blogpost。
相關問題
- 1. .Net PE文件中的入口點RVA是什麼?
- 2. PE文件節RVA計算
- 3. Windows PE determine入口點虛擬地址
- 4. 找到PE入口點的部分
- 5. 關於PE在Windows中的入口點
- 6. 在pe header中打印iat
- 7. 如何使用Dumpbin確定來自PE頭的AddressOfEntryPoint的RVA
- 8. 入口點的值的地址不同的PE Explorer和UltraEdit的
- 9. 我怎樣才能在PE函數入口點文件
- 10. 加入PE
- 11. PE .idata部分
- 12. Dotfuscator的壞RVA
- 13. PE格式標題混亂
- 14. LibGit2Sharp:錯誤FS0229:打開二進制文件時出錯 - > bad cli header,rva 0
- 15. 如何在java項目中提取PE-Header Info?
- 16. 我可以在PE頭中的代碼中設置入口點嗎?
- 17. 如何在PE頭中入口點地址爲零時找到OEP?
- 18. 從RVA獲得文件偏移
- 19. C++入口點 - > main()
- 20. 是正確的地方的入口點?
- 21. 如何理解此圖中的PE頭?
- 22. 導入地址表會導致導入名稱的RVA不正確
- 23. 作爲.NET可執行文件中受管模塊的一部分,PE Header和CLR Header中包含什麼?
- 24. Vaadin入口點
- 25. Dockerfile入口點
- 26. ESB入口點
- 27. 什麼是RVA和VA?
- 28. Mono.Cecil修改方法的RVA
- 29. Sticky Header,達到一個點
- 30. VST2接口dll入口點