这段话运行了10多次得到kernel32都为75cc0000
push eax;
mov eax, dword ptr fs:[0x30];
mov eax, [eax + 0x0c];
mov eax, [eax + 0x1c];
mov eax, [eax];
mov eax, [eax + 0x08];
mov addrkernel32, eax;
pop eax;
用ida查看kernel32的imagebase得到的却是 7DD60000
请问这是什么原因,是我汇编代码有错误还是因为重定位的关系
参考这里 http://bbs.pediy.com/showthread.php?t=122260
其实是win7以上系统的差异关系
嗯,楼上说的没错,基址是由操作系统加载时决定的。可以看看PE结构嘛