论文部分内容阅读
利用应用程序或远程线程函数被加载后,其进程堆栈中存有位于Kernel32.DLL中的返回地址,利用这个返回地址,可在远程进程中获取Kernel32.DLL的基地址,从而可以得到关键的2个API函数GetProcAddress和LoadLibrary的入口地址.利用这二个函数就可以在远程进程中动态装入DLL.动态搜索并取得所需要的API函数入口地址.