我正在尝试使用C / ASM中的PEB结构,但在此之前我想了解一些基础知识。
我在某处读到大多数流程的PEB地址为0x07FFDA00。
现在该地址是否与进程基地址相关,即(0x00400000 + 0x07FFDA00 == PEB base addr)?
因为当然所有进程都不能拥有PEB到这个地址。
答案 0 :(得分:3)
因为当然所有进程都不能将PEB用于此地址。
如果0x07FFDA00是虚拟地址以及0x00400000,则所有进程都可以在此地址拥有PEB。
正如您在this thread中看到的那样,0x07FFDA00不是RVA,它只是VA相对于流程的物理地址,因此{{1}没有任何意义。
您可以使用0x00400000 + 0x07FFDA00查看此内容,例如:
NtQueryInformationProcess