0
我遇到了一個非虛擬機上正在分析的非.net,x86機器類型,pe32可執行的惡意軟件問題。入口點字段不是NULL,因此這排除了從0x0開始執行。PE header入口點RVA
當我在創建處於掛起狀態的進程之後在入口點處與調試器斷開時,此程序設法在入口點之前發出調用。我在這裏有點困惑,這個工作到底如何?
我遇到了一個非虛擬機上正在分析的非.net,x86機器類型,pe32可執行的惡意軟件問題。入口點字段不是NULL,因此這排除了從0x0開始執行。PE header入口點RVA
當我在創建處於掛起狀態的進程之後在入口點處與調試器斷開時,此程序設法在入口點之前發出調用。我在這裏有點困惑,這個工作到底如何?
系統在應用程序入口點之前調用TLS(線程本地存儲)回調。這是關於這個的blogpost。