第47章:PEB
PEB 结构体也很庞大,与代码逆向分析相关的有:
① BeingDebugged
Win 7 kernel32.dll 中此 API 检查当前进程是否处于调试状态:
先找到 TEB ,再找到 PEB ,最后找到该值。
② ImageBaseAddress
GetModuleHandle() API 用来获取 ImageBase .
③ Ldr
Ldr 成员是指向 _PEB_LDR_DATA 结构体的指针(DLL 加载到进程后,通过 Ldr 可以直接获取该模块的加载基地址):
可以看到该结构体中有三个 _LIST_ENTRY 类型的成员。
可以看到,它是双向链表。链表中的内容如下:
④ ProcessHeap & NtGlobalFlag