-
-
关于PEB_LDR_DATA遍历循环链表的问题
-
发表于: 2009-11-22 15:38
-
我想知道PEB_LDR_DATA结构偏移0x0C处的InLoadOrderModuleList.Flink开始遍历的dll模块是不是全都是系统的dll?链表里有非系统dll吗?有的话,那这些dll是指静态链接的吧?动态加载的dll有没有在链表里?请各位大牛指点指点~
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
 谢谢2楼提醒,我写了一个小程序测试了一下:main函数 { LoadLibrary("zlibwapi.dll"); //随便加载一个dll ......... 遍历循环链表 ......... LoadLibrary("10.dll"); //随便加载一个dll } 发现遍历模块链表之前,动态加载的dll(本例中的zlibwapi.dll)在链表里面,静态链接的应该也在(我没真正试验过),但在遍历完链表之后,再加载的dll(本例中的10.dll)就不在链表里面了。当然这是我自己写的程序遍历,但系统是什么时候把这些信息写在PEB链表结构里面去的 呢? 为了追查这个问题,我把遍历链表这部分代码注释掉,代码如下:main函数 { LoadLibrary("zlibwapi.dll"); //随便加载一个dll __asm { int 3 //加个int 3,让OD中断查看 } LoadLibrary("10.dll"); //随便加载一个dll __asm { int 3 //加个int 3,让OD中断查看 } } 然后用OD打开,在程序入口点时,Alt+E,看见里面只有本进程模块,ntdll.dll,kernel32.dll,  然后F9,第一个LoadLibrary后中断,Alt+E  此时系统为链表写入很多模块信息(红色部分) 再F9运行,LoadLibrary("10.dll")后中断,Alt+E  又写进去信息...(红色部分) 经过这测试,我的疑惑终于解开了  特意把过程写出来给大家看看~(大牛飘过...)还得感谢提醒,虽然没直接给我解答,分还是给你了 注:PEB链表里面的模块其实就是Alt+E里面列出来的模块 |
|
|
|
|
|
|
|
|
|
