九、模块列表流(ModuleListStream)

ModuleListStream流包含进程已加载模块信息。它紧跟随在ThreadInfoListStream后面。ThreadInfoListStream信息如下:

0x15f4+0n5068=0x29c0

ModuleListStream如下

可知ModuleListStream的RVA 为0x29c0,所以ModuleListStream紧挨着ThreadInfoListStream,大小为26680字节。数据如下:

这些数据按如下结构组织在一起:

typedef struct_MINIDUMP_MODULE_LIST {

  ULONG32         NumberOfModules;

  MINIDUMP_MODULE Modules[0];

} MINIDUMP_MODULE_LIST,*PMINIDUMP_MODULE_LIST;

标签: none

添加新评论