.net 如何更好地使用调试API在内存上查找Win32入口点和代码注入？_.net_Debugging_Winapi_Code Injection_Entry Point

.net 如何更好地使用调试API在内存上查找Win32入口点和代码注入？

.net debugging winapi

.net 如何更好地使用调试API在内存上查找Win32入口点和代码注入？,.net,debugging,winapi,code-injection,entry-point,.net,Debugging,Winapi,Code Injection,Entry Point,我了解嗅探器，我可以使用win32调试API编写一个嗅探器。但在这里，我想找到一个可执行文件的entypoint并在那里注入代码。这在调试API中是可能的吗？或者任何其他处理代码的方法，而不是像olly这样的工具。您需要了解可移植可执行文件格式，并理解它，以下是一些帮助您入门的资源： -这特别有用为了便于使用，AddressOfEntryPoint指针可以位于IMAGE_可选_头结构中，该结构位于IMAGE_FILE_头结构中，它是要执行的第一条指令的RVA（相对虚拟地址）。如果

我了解嗅探器，我可以使用win32调试API编写一个嗅探器。但在这里，我想找到一个可执行文件的entypoint并在那里注入代码。这在调试API中是可能的吗？或者任何其他处理代码的方法，而不是像olly这样的工具。

您需要了解可移植可执行文件格式，并理解它，以下是一些帮助您入门的资源：

-这特别有用

为了便于使用，AddressOfEntryPoint指针可以位于IMAGE_可选_头结构中，该结构位于IMAGE_FILE_头结构中，它是要执行的第一条指令的RVA（相对虚拟地址）。如果要从一开始就转移执行流，则需要将此字段中的值更改为新的RVA，并首先执行新RVA处的指令。

您可以从PE文件头中读取该指令。能否提供更多详细信息？您应该能够进行Web搜索，以了解如何读取PE文件头。