Как возможно найти модулек,если его скрыли в PEB->LDR?(если нет возможности вмешаться "до") Интересны все варианты.
WellKnown, Есть ядерный сервис для этого. NtAreMappedFilesTheSame, но это не точно, поищите сами. Есть сервисы, которые возвращают инфу про проекцию, к примеру файловый путь по указателю. Так что проблемы или задачи не видно.
А есчо вспомнил такое, загрузчик ведёт лог проекций в виде битмапы, это годный способ. RtlpStkIsPointerInDllRange(). Там по цепочке экспорт. Почему вы это не ищите сами.
WellKnown, На что мне ваши лайки, мне интересна сама задача, вы же её не описываете. Поэтому и нельзя конкретно ответить. В загрузчике для поиска либы в памяти я использовал именно предыдущую функцию, а не сервис ядра. Так как 1: проекция может не являться файловой, 2: вызов быстрый, так как не ядерный.
WellKnown, насколько мне известно, если модуль запихали в память ручками (WriteProcessMemory), то здесь является годным чек адресного пространства на страницы с атрибутами на исполнение.
Indy_, было очень полезно узнать об этой особенности, спасибо. // в врк есть описание, если кому интересно https://github.com/mic101/windows/blob/master/WRK-v1.2/base/ntos/rtl/i386/getcalr.c#L587
