hModule 就是DLL的文件头的开始地址,LoadLibrary或者GetModuleHandle可以得到,
把这个地址强转为PImageDosHeader,再由_lfanew得到NT节点,转为PImageNtHeaders,可以得到相关RAV,枚举其他节点,可得到相关RAV,即可得到虚拟内存地址和大小,以PageSize(4096)收整得到DLL装入后内存,不包括DLL代码申请的内存。
把这个地址强转为PImageDosHeader,再由_lfanew得到NT节点,转为PImageNtHeaders,可以得到相关RAV,枚举其他节点,可得到相关RAV,即可得到虚拟内存地址和大小,以PageSize(4096)收整得到DLL装入后内存,不包括DLL代码申请的内存。
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货