#include "windows.h"
#include <stdio.h>
#include "stdlib.h"
void main(){
  int a=1;
_asm{
     mov esi,[ebp+24]              //因为在调用main函数的时候 是creatprocess 函数建立进程，利用这个栈的地址来取得creatprocess进程的地址，也就是DLL的地址空间了
     and esi,0xffff0000            //页对齐
mmm: cmp dword ptr [esi],0x4d5a    //比对MZ标志 用这个判定是否DLL文件的开始基地址
     jz  xxx   
     sub esi,0x1000                 //以页为单位进行搜索
     jmp mmm
xxx: mov [ebp-4],esi                //将寻到的基地址值给变量a
    }
printf("%d",a);
}


[ 本帖最后由 zhu224039 于 2012-12-11 01:17 编辑 ]

Loaded 'ntdll.dll', no matching symbolic information found.
Loaded 'C:\WINDOWS\system32\kernel32.dll', no matching symbolic information found.
The thread 0x670 has exited with code 2 (0x2).
这个是神马意思嘛
找不到kernel32.DLL 还退出线程 ID 0X670?  code 说的是错误代码号？

步进后就直接错误
First-chance exception in c.exe: 0xC0000005: Access Violation.
说数据保护  不让比较 这个地址有问题吗 ？

奶奶的，至从学了缓冲和反汇编后，我编程成功率就低了很多

各种乱

[ 本帖最后由 zhu224039 于 2012-12-11 01:11 编辑 ]

0x4d5a是个立即数啊

我的原意是 dword ptr [esi]-0xd5a  进行比较

mov eax,0x4d5a
cmp [esi],eax
还是一样的

and esi,0xffff0000 这个是 让esi和立即数进行与运算啊

ffff0000不是地址值 是个立即数
[ffff0000]这个时候的 ffff0000是个地址值，这个是汇编的约定

esi里面存放的是kernel32.DLL 在进程空间中的地址值 这个kernel是运行在rang3的具有属性可读可执行不可写
由于每个程序被调用后 都有4GB的独立空间
但是这个4GB的独立空间 是被1分为二了的   一半是系统的 一半是用户的
用页面调换机制的话，属于系统的那一半 就不用 因为切换一个进程就得重新加载一次了

我是在找kernel.DLL  的地址

书上讲的获取kernel32.DLL 的基地址 就是这么讲的
我学PE文件格式的时候  这个kernel32.dll是说运行在rang3的级别上的

哦，对少打了个F