#include "windows.h"
#include <stdio.h>
#include "stdlib.h"
void main(){
  int a=1;
_asm{
     mov esi,[ebp+24]              //因为在调用main函数的时候 是creatprocess 函数建立进程，利用这个栈的地址来取得creatprocess进程的地址，也就是DLL的地址空间了
     and esi,0xffff0000            //页对齐
mmm: cmp dword ptr [esi],0x4d5a    //比对MZ标志 用这个判定是否DLL文件的开始基地址
     jz  xxx   
     sub esi,0x1000                 //以页为单位进行搜索
     jmp mmm
xxx: mov [ebp-4],esi                //将寻到的基地址值给变量a
    }
printf("%d",a);
}


[ 本帖最后由 zhu224039 于 2012-12-11 01:17 编辑 ]

Loaded 'ntdll.dll', no matching symbolic information found.
Loaded 'C:\WINDOWS\system32\kernel32.dll', no matching symbolic information found.
The thread 0x670 has exited with code 2 (0x2).
这个是神马意思嘛
找不到kernel32.DLL 还退出线程 ID 0X670?  code 说的是错误代码号？

步进后就直接错误
First-chance exception in c.exe: 0xC0000005: Access Violation.
说数据保护  不让比较 这个地址有问题吗 ？

奶奶的，至从学了缓冲和反汇编后，我编程成功率就低了很多

各种乱

[ 本帖最后由 zhu224039 于 2012-12-11 01:11 编辑 ]

mmm: cmp dword ptr [esi],0x4d5a
0x4d5a 这个地址你确认可以访问？直接崩溃~~

0x4d5a是个立即数啊

我的原意是 dword ptr [esi]-0xd5a  进行比较

错了，是这个
0xffff0000
是这个，这个地址空间 你不可以访问啊。
这个是内核的地址。应用程序访问不了的

mov eax,0x4d5a
cmp [esi],eax
还是一样的

and esi,0xffff0000 这个是 让esi和立即数进行与运算啊

ffff0000不是地址值 是个立即数
[ffff0000]这个时候的 ffff0000是个地址值，这个是汇编的约定

你为什么要访问内核的地址啊，这个地址是操作系统的，应用程序访问会直接崩溃，

大于某个值的地址都是内核的（忘记多少了）
32 位系统下
每个进程有4g的空间，高2g（好像是这个数）是内核的，也就是操作系统本身，高2g对于所有进程来说是一样的，
低2g才是每个进程（应用程序）的空间，

对于应用程序来说，内存是隔离的，不过高2g部分（也就是内核部分）不是隔离的，不过这个地址应用程序没有访问的权限，

and esi,0xffff0000            //页对齐  这个我知道你的是立即数
 mmm: cmp dword ptr [esi],0x4d5a     // 你这个地方就是去访问内核地址了