Контрразведка с soft-ice в руках

карта памяти процесса


Последний поток — 578h представляет собой основной поток программы и хранит своей стартовый адрес _не_ в третьем, а во втором (!) двойном слове:

12FFE0 FFFFFFFF  End of SEH chain

12FFE4 79481F54  SE handler

12FFE8 79432B18  KERNEL32.79432B18

12FFEC 00000000

12FFF0 00000000

12FFF4 00000000

12FFF8 00401405  va_threa.<ModuleEntryPoint>
    ; ß

стартовый адрес потока 578h

12FFFC 00000000                          ; ß дно пользовательского стека потока



Содержание раздела