c# – 如何读取内存中加载的模块的PE头？

我正在尝试.NET中的内存访问.目前,我有一个托管程序,它启动一个非托管进程并检索其中一个加载模块(DLL)的BaseAddress.我想要做的是以某种方式读取加载模块的PE头,以便我以后可以检索其导出的地址.不幸的是,我找不到...

我正在尝试.NET中的内存访问.目前,我有一个托管程序,它启动一个非托管进程并检索其中一个加载模块(DLL)的BaseAddress.我想要做的是以某种方式读取加载模块的PE头,以便我以后可以检索其导出的地址.

不幸的是,我找不到任何关于此的好信息.有任何想法吗？

解决方法:

This是PE文件格式的良好起点.

您可以从基地址P / Invoke ReadProcessMemory将标题复制到您的过程中.您需要将读取的内存解析为各种PE头.第一个标题是IMAGE_DOS_HEADER,它将指向IMAGE_NT_HEADERS.然后,您可以使用IMAGE_NT_HEADERS中的IMAGE_OPTIONAL_HEADER在二进制文件中查找IMAGE_EXPORT_DIRECTORY的位置.