标签: windows debugging notepad
我可以在此行中查看LDR_DATA_ENTRY_TABLE:
LDR_DATA_ENTRY_TABLE
!list -x "dt ntdll!_LDR_DATA_TABLE_ENTRY" @@C++(&@$peb->Ldr->InLoadOrderModuleList)
其中的各个部分做什么?
指针到底是什么?
很显然,我可以通过将结尾处的指针替换为KRNL_DATA_TABLE_ENTRY来看到nt!PsActiveModuleList。
KRNL_DATA_TABLE_ENTRY
nt!PsActiveModuleList