めいくりぷとのブログ

技術的なことをまったりと。

自/他プロセスのモジュールの列挙 x86/x64

x64 -> x86/x64
x86 -> x86
に対応

対象プロセスがx86の場合は、NtQueryInformationProcessにProcessWow64Information を渡し、PEBのアドレスを取得する。
対象プロセスがx64の場合はWow64が無いので、ProcessBasicInformation を引数に渡し、PROCESS_BASIC_INFORMATION 構造体からPEBのアドレスを取得する。
f:id:mcrypt:20180323010025p:plain