C++无法访问PEB LDR InLoadOrderModuleList

Question

我不熟悉c++和windows的内部结构。我正在尝试打印所有三个PEB_LDR_DATA模块列表(InLoadOrderModuleList、InMemoryOrderModuleList、InInitializationOrderModuleList)。

在我了解到Microsoft在PEB_LDR_DATA结构中只显示InMemoryOrderModuleList，而this是一个更详细的结构。

我已经能够访问InMemoryOrderModuleList并打印模块列表。获取InMemoryOrderModuleList中的第一个模块：

// ldrData data type is PPEB_LDR_DATA
PLIST_ENTRY inMemoryOrderModuleList = &ldrData->InMemoryOrderModuleList;
PLIST_ENTRY currentitem_InMemoryOrderModuleList = inMemoryOrderModuleList->Flink;
LDR_DATA_TABLE_ENTRY inMemoryOrderModuleListItem = *(PLDR_DATA_TABLE_ENTRY)currentitem_InMemoryOrderModuleList;

但在尝试访问时：

// ldrData data type is PPEB_LDR_DATA
PLIST_ENTRY inLoadOrderModuleList = &ldrData->InLoadOrderModuleList;

我得到了错误：

class _PEB_LDR_DATA has no member InLoadOrderModuleList

我知道这不是正确的方式，但我也尝试像这样访问列表：

PLIST_ENTRY inLoadOrderModuleList = (PLIST_ENTRY)(ldrData+ 0x0010);

inLoadOrderModuleList闪烁和闪烁为空。

我应该如何访问这些列表？

Answer 1

我一直无法访问它，因为我使用的结构是Microsoft structure Microsoft。要使用完整的结构this，我需要定义完整的结构。

typedef struct _PEB_LDR_DATA
    {
        ULONG Length;
        BOOLEAN Initialized;
        HANDLE SsHandle;
        LIST_ENTRY InLoadOrderModuleList;
        LIST_ENTRY InMemoryOrderModuleList;
        LIST_ENTRY InInitializationOrderModuleList;
        PVOID EntryInProgress;
        BOOLEAN ShutdownInProgress;
        HANDLE ShutdownThreadId;
    } PEB_LDR_DATA, *PPEB_LDR_DATA;