x86 - PE ヘッダーエントリポイント RVA

翻译自：https://stackoverflow.com/questions/7543365 2011-09-25T02:57:37.150

672 次

0

仮想マシンで分析している .net 以外、x86 マシンタイプ、pe32 実行可能マルウェアに問題があります。エントリポイントフィールドは NULL ではないため、0x0 から始まる実行は除外されます。

一時停止状態でプロセスを作成した後、デバッガーでエントリポイントでブレークすると、このプログラムはエントリポイントの前で呼び出しを取得できます。ここで少し混乱していますが、これはどのように機能するのでしょうか?

1 に答える 1

2

TLS (thread-local-storage) コールバックは、アプリケーションエントリポイントの前にシステムによって呼び出されます。ここにそれに関するブログ記事があります。

于 2011-09-25T07:12:30.537 に答える