1

所以一般来说,人们说你所要做的就是得到PE头地址。像这样:

IMAGE_DOS_HEADER* IDH = (IMAGE_DOS_HEADER*)GetModuleHandle(NULL);

IMAGE_NT_HEADERS * INT = (IMAGE_NT_HEADERS *)((int *)IDH + (int)IDH.e_lfanew);

然而,经过几个小时的思考为什么它对我不起作用,我意识到我还需要将 IDH.e_lfanew 除以 4。所以我只能通过这种方式获得指向 IMAGE_NT_HEADER 结构的正确指针:

IMAGE_NT_HEADERS * INT = (IMAGE_NT_HEADERS *)((int *)IDH + (int)(IDH.e_lfanew/4));

有人可以向我解释为什么我需要划分它吗?我的操作系统是 Windows 8 64 位。也许我的windows版本是原因?无论如何,我将非常感谢任何指导!

4

1 回答 1

2

因为您要添加IDH.e_lfanew到 an int *,其中每个元素的长度为 4 个字节,我希望这e_lfanew是字节偏移量,而不是int结构中的数量。

于 2013-09-11T19:37:01.677 回答