Kernel32ThreadInitThunkFunction 这个全局变量没有导入到ntdll中,但他的值是kernel32。BaseThreadInitThunk 函数 这是为什么?PE 如何知道它需要加载内核32。BaseThreadInitThunk 当它加载 ntdll 时?
Kernel32ThreadInitThunkFunction 是 ntdll.dll 中的全局变量。 ntdll.dll只是最初加载到从内核(使用 exe(处理的单个 DLL。 此 DLL 不得有任何依赖项、任何静态导入。 在进程初始化ntdll.dll期间,如果这不是CLR映像并且子系统IMAGE_SUBSYSTEM_WINDOWS_GUI或IMAGE_SUBSYSTEM_WINDOWS_CUI - 加载内核32.dll , 查询它以获取BaseThreadInitThunk函数并将其指针存储在Kernel32ThreadInitThunkFunction中。它在开始调用 DLL 初始化例程之前调用它以初始化终端服务器