Dnia 28-12-2010 o 12:54:56 Bogdan (bogdro) <b...@p...gazeta.pl>
napisa?(a):

>> pod adresami 0x7xxxxxxx w przestrzeni procesu znajdowalo sie
>> kilkanascie dllelek glownie systemowych jak kernel32.dll
>> (swoich wlasnych aplikacja nie uzywa) i pare tez mi nie znanych
>> ale chyba okolosystemowych, plus jedna ("hook.dll" o ile
>> pamietam ) pochodzaca z mojego slownika polsko angielskiego
>> firmy techland - ten slownik zaklada takie hooki bo ma opcje
>> kontekstowych tlumaczen tekstow odrazu z aplikacji
>>
>> ciakawa wogole sprawa; jak to jest ze te dllki sa mapowane w
>> prywatnej przestrzeni procesu? zdawalo mi sie ze powinny byc one
>> w wyzszej polowce adresow systemowych;
>
> Może tam są, tylko w procesie wyglądają na zmapowane pod niższe
> adresy. Ale może to być kwestia tego, że program jest uruchomiony pod
> debugerem - on też korzysta z wywołań systemowych, może więc
> "przechwytuje" je dla programu: wstawia swoje zaślepki pod adresami
> 0x7xxxxxxx (aby na przykład można było podejrzeć parametry
> uruchamianych funkcji), po czym odwołuje się do tych właściwych już
> pod innymi, "bardziej standardowymi" adresami.

Bo właśnie od 0x7xxxxxxx system ładuje swoje biblioteki (nie wiem jak w
systemach 64 bitowych), bez względu na to, czy program jest uruchomiony
pod debuggerem, czy nie. Zresztą, debugger można podłączyć i odłączyć już
po wystartowaniu procesu. Poczytaj sobie może gdzieś o tym, jak działają
procesy, dllki i system, to nie będziesz błądził po omacku. Ja niestety
żadnych artykułów nie polecę, bo dawno temu to studiowałem.

--
Boguś