Узнать ImageBase

пишу длл. как бы узнать ImageBase процесса который ее подгрузит?

 

смотри в сторону PSAPI

 

Может из РЕВ взять? будет ли работать под разными осями? (2000 - Vista)

 

GetModuleHandle(nil)

 

PEB в каждой системе отличается.

 

Вариантов несколько... Самый простой:

А это для извращенцев - через GetCurrentProcessId. Далее перечисляем список процессов через ТулХелп. сопоставляем Ид и ИмаджБейз.

 

Для таких страшных вопросов есть секретная инструкция

Код (Text):

1. mov eax, fs:[30h]

, или на крайняк в NT -

Код (Text):

1. ZwQueryInformationProcess(...,ProcessBasicInformation,...,...,....)

 

Gonzzik
Самый простой и самых правильный - GetModuleHandle(NULL) - как известно когда функция вызывается даже из DLL, она получает базовый адрес не DLL, а EXE куда она загружается. Ну все это написано в MSDN:
If this parameter is NULL, GetModuleHandle returns a handle to the file used to create the calling process.

 

getmodulehandle(0)=
mov eax,[fs:18]
mov eax,[eax+30]
mov eax,[eax+8]

 

сканировать память на предмет PE-заголовка?

 

nobodyzzz, не обязательно сработает... вдруг пару маппингов ехешников открыто

 

FreeManCPM
хм imho,если в коде длл бут ченить типа

Код (Text):

1. call @F
2. @@: pop eax
3. invoke ScanForPEHeader, eax

должно сработать =))))

 

nobodyzzz
надо получить ImageBase ехешника. если выполнишь такое из длл, получишь ImageBase длл

 

FreeManCPM
ой =)) лоханулся чота =)