0
我遇到了一个非虚拟机上正在分析的非.net,x86机器类型,pe32可执行的恶意软件问题。入口点字段不是NULL,因此这排除了从0x0开始执行。PE header入口点RVA
当我在创建处于挂起状态的进程之后在入口点处与调试器断开时,此程序设法在入口点之前发出调用。我在这里有点困惑,这个工作到底如何?
A
回答
2
系统在应用程序入口点之前调用TLS(线程本地存储)回调。这是关于这个的blogpost。
相关问题
- 1. .Net PE文件中的入口点RVA是什么?
- 2. 找到PE入口点的部分
- 3. 关于PE在Windows中的入口点
- 4. Windows PE determine入口点虚拟地址
- 5. 在pe header中打印iat
- 6. 入口点的值的地址不同的PE Explorer和UltraEdit的
- 7. 我怎样才能在PE函数入口点文件
- 8. 从RVA获得文件偏移
- 9. 是正确的地方的入口点?
- 10. 如何理解此图中的PE头?
- 11. 导入地址表会导致导入名称的RVA不正确
- 12. ESB入口点
- 13. Dockerfile入口点
- 14. Vaadin入口点
- 15. 什么是RVA和VA?
- 16. Sticky Header,达到一个点
- 17. Boost C++ - 入口点?
- 18. OCX的入口点
- 19. 入口点地址
- 20. 访问入口点
- 21. React主入口点
- 22. ASP.NET MVC入口点
- 23. Spring MVC入口点
- 24. IMetaDataImport可以将RVA解析为指针吗?
- 25. Dockerfile在shell入口点之前运行入口点
- 26. 在PE(.exe)中导入表格
- 27. 偏移和RVA之间的区别
- 28. Pe编辑库?
- 29. Windows PE资源
- 30. 绝对进口和入口点