bawilem sie wczoraj jeszcze troche wspominanym OllyDebug
i zaobserwowalem co nastepuje (o ile nie myli mnie pamiec co do
szczegolow adresow bo nie robilem notatek):

modul mojej aplikacji exe zostala wgrany pod adres 0x40000000
(albo 0x40001000 w kazdym razie tutaj byl punkt startowy)
- to sie zgadza z tym co czytalem ze domyslnie pod ten adres mapowane
sa exeki;

chyba od razu za tym (o ile pamietam) byla duza sekcja danych (glownie zera
wiec chyba tam byly zaalokowane malokiem i statycznie tablice)

pod adresami 0x7xxxxxxx w przestrzeni procesu znajdowalo sie
kilkanascie dllelek glownie systemowych jak kernel32.dll
(swoich wlasnych aplikacja nie uzywa) i pare tez mi nie znanych
ale chyba okolosystemowych, plus jedna ("hook.dll" o ile
pamietam ) pochodzaca z mojego slownika polsko angielskiego
firmy techland - ten slownik zaklada takie hooki bo ma opcje
kontekstowych tlumaczen tekstow odrazu z aplikacji

ciakawa wogole sprawa; jak to jest ze te dllki sa mapowane w
prywatnej przestrzeni procesu? zdawalo mi sie ze powinny byc one
w wyzszej polowce adresow systemowych; drugie pytanie czy da sie
wypatrzec wiecej ciekawego info jak powyzsze, debuggerem w przestzreni
prywatnej procesu? jak dokladnie z pol PE mozna orzec gdzie zostana
zmapowane sekcje i kore sekcje są 'minimalne'; czy da się zrobic
funkcjonalny program PE wylacznie z sekcja .text (plus ewentualnei
tablice importow i exportow) czy raczej jeszce jakies powinny byc?
borland 55 ktorego uzywam kompiluje o ile dobrze pamietam az osiem
sekcji z ktorego jednanazywa sie .tls - co to moze byc?

tia, slamazar

uzywam



--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl