Windows常用入口点
Windows常用入口点
分析保护方案时常用的一些入口点
- 线程起始点:
ntdll.RtlUserThreadStart,其第一个参数是用户指定的逻辑入口点。例如当我用CreateRemoteThread + LoadLibraryW时:
它也会调用kernel32.BaseThreadInitThunk
- APC入口点
ntdll.KiUserAPCDispatcher
- 调试器入口点
DbgUiRemoteBreakin 调试器附加时会执行
分析保护方案时常用的一些入口点
ntdll.RtlUserThreadStart,其第一个参数是用户指定的逻辑入口点。例如当我用CreateRemoteThread + LoadLibraryW时:
它也会调用kernel32.BaseThreadInitThunk
ntdll.KiUserAPCDispatcher
DbgUiRemoteBreakin 调试器附加时会执行