获取其他进程加载模块的详细信息

用CreateToolhelp32Snapshot传TH32CS_SNAPMODULE也可枚举模块信息，得到MODULEENTRY32 结构，但是MODULEENTRY32 比较简单，只有基地址和大小等信息，EntryPoint、LoadCount等信息都没有，这些信息在另一个结构LDR_DATA_TABLE_ENTRY中，wrk中多次引用了这个结构，并且用这种方法调试时也能手动遍历模块列表。

基本思路：用ntdll.dll的导出函数NtQueryInformationProcess查询进程的ProcessBasicInformation，获取PROCESS_BASIC_INFORMATION结构，

typedef struct _PROCESS_BASIC_INFORMATION {
NTSTATUS ExitStatus;
PPEB PebBaseAddress;//peb地址
ULONG_PTR AffinityMask;
KPRIORITY BasePriority;
ULONG_PTR UniqueProcessId;
ULONG_PTR InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION,*PPROCESS_BASIC_INFORMATION;

根据PebBaseAddress读取PEB结构，PEB的0x0c偏移处是PEB_LDR_DATA结构，其中的三个链表头就是进程加载的模块列表，每个LIST_ENTRY对应LDR_DATA_TABLE_ENTRY结构，该结构在wrk也多次引用。

typedef struct _PEB_LDR_DATA {
ULONG Length; 
BOOLEAN Initialized; 
PVOID SsHandle; 
LIST_ENTRY InLoadOrderModulevector;//进程加载模块信息的链表头，三个不同顺序的
LIST_ENTRY InMemoryOrderModulevector; 
LIST_ENTRY InInitializationOrderModulevector;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_DATA_TABLE_ENTRY //进程加载模块的详细信息
{
LIST_ENTRY InLoadOrderLinks;//这三个link分别加入peb的PEB_LDR_DATA的三个链表
LIST_ENTRY InMemoryOrderLinks;
LIST_ENTRY InInitializationOrderLinks;
PVOID DllBase;//基地址
PVOID EntryPoint;//入口点
ULONG SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
ULONG Flags;
WORD LoadCount;
WORD TlsIndex;
union
{
LIST_ENTRY HashLinks;
struct
{
PVOID SectionPointer;
ULONG CheckSum;
};
};
union
{
ULONG TimeDateStamp;
PVOID LoadedImports;
};
DWORD EntryPointActivationContext; //_ACTIVATION_CONTEXT * EntryPointActivationContext;
PVOID PatchInformation;
LIST_ENTRY ForwarderLinks;
LIST_ENTRY ServiceTagLinks;
LIST_ENTRY StaticLinks;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;