Fs:[0x18]找到TEB
TEB+0x30找到PEB
PEB+C处是loader,值为 7747FBE0
Loader(7747FBE0)+0xC处是模块信息表的地址:
模块信息表中是双向环形链表的节点,可以看到上一个节点,下一个节点,hInstance,AddressOfEntryPoint和UNICODE_STRING结构:
