hMod = GetModuleHandle(NULL); // hMod = Imagebase 를 찾다가 발견한 내용
왜 hInstance 값을 가져오는게 Imagebase인가 찾다보니
win32에서는 HMODULE, HINSTANCE가 프로세스의 base address와 같다는 것을 찾았다
(PE의 헤더정보와는 동일하지 않다, 배치가 다른 곳에 될 수 있기 때문)
imagebase가 핸들 값이랑 같아서 핸들 값이 각각 고유하게 정해지고, 핸들값을 알면 컨트롤이 가능한건가... (추측)
찾은 곳 출처 : http://www.devpia.com/MAEUL/Contents/Detail.aspx?BoardID=51&MAEULNO=20&no=7124
'[ IT ] > 리버싱' 카테고리의 다른 글
API 후킹 - API 코드 패치 동작 원리 (0) | 2015.11.29 |
---|---|
프로세스 핸들과 PID의 차이, getprocaddress() (0) | 2015.11.28 |
리버싱 4장 API 정리 (0) | 2015.11.28 |
리버싱 3장 API 정리 (0) | 2015.11.19 |