Я могу просмотреть LDR_DATA_ENTRY_TABLE с помощью этой строки:
!list -x "dt ntdll!_LDR_DATA_TABLE_ENTRY" @@C++(&@$peb->Ldr->InLoadOrderModuleList)
Что делают различные части этого?
На какой бит указывает указатель конец ?
Очевидно, я могу видеть KRNL_DATA_TABLE_ENTRY, заменив указатель в конце на nt!PsActiveModuleList.