读取正在运行的进程的导入表

Question

有没有办法读取另一个进程的导入表？
函数 ImageNtHeader 在这里对我没有帮助，因为它仅适用于我的进程，不适用于其他进程。
我知道我可以读取整个文件并解析它的PE头，但如果文件很大，我担心这会花费很多时间。

有没有办法直接使用进程的内存而不是从文件中读取？
任何其他简单又好的方法也将很棒:)

Answer 1

只需使用 psapi 或 toolhlp32 查找您感兴趣的进程模块的内存地址。一旦找到，您就可以使用 ReadProcessMemory 获取所需的信息。否则，只需假装是一个调试器并附加到目标进程，以便您可以完全访问它的内存，然后您可以使用 Windows PE 宏。