esi里面存放的是kernel32.DLL 在进程空间中的地址值 这个kernel是运行在rang3的具有属性可读可执行不可写
由于每个程序被调用后 都有4GB的独立空间
但是这个4GB的独立空间 是被1分为二了的   一半是系统的 一半是用户的
用页面调换机制的话，属于系统的那一半 就不用 因为切换一个进程就得重新加载一次了

我是在找kernel.DLL  的地址

不好意思，说错了，是这样的
看错了 以为你是add esi,0xffff0000            

and esi,0xffff0000            //你执行这句 esi的值为零了对吧
mmm: cmp dword ptr [esi],0x4d5a  // 这个就等价于读取了 一个NULL的地址了

我这边测试时这样

书上讲的获取kernel32.DLL 的基地址 就是这么讲的
我学PE文件格式的时候  这个kernel32.dll是说运行在rang3的级别上的

哦，对少打了个F

kernel 是在ring3的，^_^
ntdll为界~~再下去就是内核了

呵呵，睡觉了，深夜了~

你的头像，那个小孩很有福气啊，顿顿都可以吃饱~

还是没明白，这个页对齐 不是地址后面数字 3个为0么
#include "windows.h"
#include <stdio.h>
#include "stdlib.h"
void main(){
  int a=1;
_asm{
     mov esi,[ebp+24]   
     and esi,0xfffff000
     mov eax,0x4d5a
mmm: cmp dword ptr [esi],eax
     jz  xxx
     sub esi,0x1000
     
     jmp mmm
xxx: mov [ebp-4],esi
    }
printf("%d",a);
}

改了还是不行