怎么阅读MAP文件,gh0st源码免杀
我们看下,定位svchost.dll 的第一个特征码内存地址为:100044AA,在第2块
中,我们可以找到RVA+BASE与之很接近的是
0001:00003440 ?FixedUploadList@CFileManager@@AAE_NPBD@Z 10004440 f
FileManager.obj
这样我们可以定位到FileManager.cpp中的FixedUploadList函数,是不是范围缩
小了?
我们看下,定位svchost.dll 的第一个特征码内存地址为:100044AA,在第2块
中,我们可以找到RVA+BASE与之很接近的是
0001:00003440 ?FixedUploadList@CFileManager@@AAE_NPBD@Z 10004440 f
FileManager.obj
这样我们可以定位到FileManager.cpp中的FixedUploadList函数,是不是范围缩
小了?
浙公网安备 33010602011771号