Zitat von
Arnulf:
Eindeutig verwirrend war für mich, dass ich vom prozess einen offset brauchte um den
pe header zu bekommen
(getoffset function ist ein module snapshot und liefert den hmodule)
Du kannst froh sein, dass Windows bei normalen Prozessen den Datei-Header überhaupt in den Speicher kopiert
Unter Windows ist der Wert eines Modul-Handles identisch mit seiner Basisadresse im jeweiligen Adressraum (falls es nicht als Datendatei geladen wurde).
Zitat von
Arnulf:
wie lese ich allerdings jetzt den speicher der section header aus
Die Section-Einträge folgenden direkt auf den 'optionalen' Header (FileHeader.SizeOfOptionalHeader).
Siehe:
http://www.microsoft.com/whdc/system...re/PECOFF.mspx