如何从x86(32位)应用程序获取x64进程中模块的基址。使用NtQuerySystemInformation获取进程ID没有问题,但CreateToolhelp32Snapshot和EnumProcesses都无法获取x64进程模块,是否还有其他任何方法可以像缺少的任何未记录的函数一样执行此操作?
答案 0 :(得分:0)
您可以通过解析PEB结构来实现此目的。它没有记录,但系统之间没有变化:http://www.nirsoft.net/kernel_struct/vista/PEB.html
有趣的部分是PEB-> Ldr-> InLoadOrderModuleList。