每个流程的PEB中都有struct PEB_LDR_DATA吗? PEB中此结构的偏移地址是多少?如何从此结构的基地址中找到已加载模块的列表(例如kernel32.dll)?
谢谢!
答案 0 :(得分:0)
感谢user2120666,我终于发现了如何在kernel32.dll中找到struct PEB_LDR_DATA。
必须注意的是,在WINDOWS7中,InInitializationOrderModuleList中的第一个节点是kernelbase.dll而不是ntdll.dll。必须分别修改偏移地址。