我正在阅读这本书,并试图理解 Dependency Walker。当我选择像 KERNEL32.DLL 之类的东西时,它在右上方窗格中显示 6 个导入,然后当我单击内核的子类(如 NTDLL.DLL)时,为什么列出的导入比选择 kernel32.dll 时要多?我原以为选择 kernel32 会显示其下所有导入的摘要。
问问题
177 次
1 回答
0
(如果我正确理解了您的问题 - 它是关于 Windows 架构,而不是依赖 Walker。)在 MS 所做的各种重构工作中(特别是 MinWin),功能在 Win32 dll 中移动了很多。为了不破坏向后兼容性 - ntdll、kernel32、user32 等仍然导出他们曾经使用的所有函数,并将这些调用路由到其他地方。
您所看到的似乎表明许多功能是从其他地方的 ntdll 卸载的(我认为主要是 KernelBase),并且必须从 kernel32 移动较少的功能。
于 2017-06-27T07:32:11.350 回答