当前位置：文江博客话题详情

exe 的工作原理以及如何调用 dll 和 exe 文件寻址

发布于 2024-10-03 16:20:45 字数 180 浏览 4 评论 0原文

基于 Windows 的可执行文件如何工作？
如何找到可执行文件的起始地址？
对于任何文件执行，地址存储在哪里以及我们如何读取这些地址？
任何 dll 或 exe 文件的调用和 ret 是如何工作的？

给我一些使用 ida pro 反汇编程序的提示。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

烟─花易冷 2024-10-10 16:20:45

程序的虚拟起始地址记录在可执行文件的标头中。任何了解这些结构的标头查看器程序都可以轻松显示它们，例如 HT (http://hte.sf.net/)——仅举一例。 IDAPro 可能有类似的东西。

回复收藏 0 原文

冷弦 2024-10-10 16:20:45

任何 dll 或 exe 文件的调用和 ret 如何工作

这实际上取决于它是 DLL 还是 EXE。

当 Windows 模块加载器完成加载 DLL 时，它会使用 DLL_PROCESS_ATTACH 参数调用 DLL 的起始地址（称为“DllMain”）（请参阅 DllMain 的文档）。如果 DllMain 返回 1，加载程序将继续。

然而，当您启动 EXE 时，系统会生成一个新进程并将 ntdll.dll 映射到该进程的地址空间，然后生成从 NTDLL 的起始地址运行的主线程。然后，该线程执行更多初始化，加载 EXE 文件（以及其导入表中列出的任何 DLL）并调用由 EXE 起始地址标识的函数。当该函数返回时，NTDLL 会调用 NtTerminateProcess 来终止所有正在运行的线程并关闭进程。

这个 EXE 启动过程可能很难用用户模式调试器观察到；一些调试器很难在进程初始化的早期阶段进行中断。