第47章：PEB

 

 

PEB 结构体也很庞大，与代码逆向分析相关的有：

① BeingDebugged

Win 7  kernel32.dll 中此 API 检查当前进程是否处于调试状态：

先找到 TEB ，再找到 PEB ，最后找到该值。

② ImageBaseAddress

GetModuleHandle() API 用来获取 ImageBase .

③ Ldr

Ldr 成员是指向 _PEB_LDR_DATA 结构体的指针（DLL 加载到进程后，通过 Ldr 可以直接获取该模块的加载基地址）：

可以看到该结构体中有三个 _LIST_ENTRY 类型的成员。

可以看到，它是双向链表。链表中的内容如下：

如下就是其中的一种遍历方法：

④ ProcessHeap & NtGlobalFlag