Dav*_*own 5 .net c# memory portable-executable
我正在尝试.NET中的内存访问.目前,我有一个托管程序,它启动一个非托管进程并检索BaseAddress其中一个加载的模块(DLL).我想要做的是以某种方式读取加载模块的PE头,以便我以后可以检索其导出的地址.
不幸的是,我找不到任何关于此的好信息.有任何想法吗?
这是PE文件格式的一个很好的起点.
您可以从基地址P/Invoke ReadProcessMemory,将标题复制到您的过程中.您需要将读取的内存解析为各种PE头.第一个标题是IMAGE_DOS_HEADER,它将指向IMAGE_NT_HEADERS.然后,您可以使用IMAGE_NT_HEADERS中的IMAGE_OPTIONAL_HEADER在二进制文件中查找IMAGE_EXPORT_DIRECTORY的位置.