我是C ++和Windows内部人员的新手。我正在尝试打印所有三个PEB_LDR_DATA模块列表(InLoadOrderModuleList,InMemoryOrderModuleList,InInitializationOrderModuleList)。
[我了解到Microsoft在PEB_LDR_DATA结构中仅显示InMemoryOrderModuleList,而this是更详细的结构。
我已经能够访问InMemoryOrderModuleList并打印模块列表。在InMemoryOrderModuleList中获取第一个模块:
// ldrData data type is PPEB_LDR_DATA
PLIST_ENTRY inMemoryOrderModuleList = &ldrData->InMemoryOrderModuleList;
PLIST_ENTRY currentitem_InMemoryOrderModuleList = inMemoryOrderModuleList->Flink;
LDR_DATA_TABLE_ENTRY inMemoryOrderModuleListItem = *(PLDR_DATA_TABLE_ENTRY)currentitem_InMemoryOrderModuleList;
但是尝试访问时:
// ldrData data type is PPEB_LDR_DATA
PLIST_ENTRY inLoadOrderModuleList = &ldrData->InLoadOrderModuleList;
我收到错误:
class _PEB_LDR_DATA has no member InLoadOrderModuleList
我知道这不是正确的方法,但是也尝试这样访问列表:
PLIST_ENTRY inLoadOrderModuleList = (PLIST_ENTRY)(ldrData+ 0x0010);
inLoadOrderModuleList Flink,并且Blink为空。
我应该如何访问列表?
我无法访问它,因为我使用的结构是Microsoft结构Microsoft。要使用完整结构this,我需要对完整结构进行typedef。
typedef struct _PEB_LDR_DATA
{
ULONG Length;
BOOLEAN Initialized;
HANDLE SsHandle;
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
PVOID EntryInProgress;
BOOLEAN ShutdownInProgress;
HANDLE ShutdownThreadId;
} PEB_LDR_DATA, *PPEB_LDR_DATA;