我是PE分析的新手,所以请耐心等待我的基础问题。在Windows XP和Windows 7中加载PE显示不同的入口点
在Windows XP中创建的Hello.exe。
CFF Explorer显示ImageBase 0x00400000和AddressOfEntryPoint 0x00001578。但是当我在OllyDbg中加载hello.exe(在Windows 7上运行)时,它显示在0x773201C8的EP
当我在OllyDbg中加载hello.exe(在Windows XP上运行)时,它在0x00401578处显示正确的EP。
我想知道为什么EP在Windows 7上有所不同。
PeHeader中的入口点地址是RVA(相对虚拟地址)
它与Imagebase相关
C:\>dumpbin /headers c:\Windows\System32\calc.exe | grep -iE "entry|im.*base"
12D6C entry point (01012D6C) _WinMainCRTStartup
1000000 image base (01000000 to 010BFFFF)
对于不同的负载,图像库可以是不同的(在ASLR地址空间布局随机化时读取)
所以你看到了这些差异