一个熟练的Linux程序员可以写一个程序直接和内核交流,比如通过open或者write函数。在Windows则没有那么幸运了。每个新的安装包和Windows NT的发布,都改变了内核的接口,还有对应的库的集合。DLLs给进程提供了一种方式,用来调用不是可执行文件中的函数。Windows API通过有序的dlls集合来实现了,所以任何使用Win32 API的进程就是动态库。
一个PE文件在开始部分有输入和输出表。输入表指示了PE需要什么文件和函数。输出指示了DLL提供了什么样的函数。它也标记了一旦被加载到内存,在哪里找到函数。
不像Unix,Windows默认在当前目录搜索dll,所以从开发者的角度来看,可以发布自己的dll库。
在Win32,有许多bug。它们中的许多是没有文档说明的,并且是在写shellcode时发现的。比如LoadLibraryA,把一个dll加载到内存,如果一个period在PATH中,并且机器没有为这个特定的bug打补丁,就会失败。winsock会失败,如果栈没有字对齐。许多API在MSDN是没有文档说明的。
当你的shellcode不工作时,很有可能是windows的bug。