Cita de: MCKSys Argentina en 18 Febrero 2018, 02:07 AM
Hola!
Básicamente el códgio usa FS:0x30 (1) para sacar la addr de la PEB.
Luego, en PEB+0xc (2) saca el puntero a PPEB_LDR_DATA.
Después, en PPEB_LDR_DATA+0x1c (3) accede a puntero a FullDllName de la estructura.
Te dejo info para que leas:
FS: https://en.wikipedia.org/wiki/Win32_Thread_Information_Block
PEB: https://msdn.microsoft.com/es-es/library/windows/desktop/aa813706(v=vs.85).aspx
PEB_LDR_DATA: https://msdn.microsoft.com/es-es/library/windows/desktop/aa813708(v=vs.85).aspx
Saludos!
Gracias por darte la molestia de leer mi PROBLEMA y darme una respuesta n_n ... Revisare los links que me brindaste . GRACIAS.