Вопрос такой: будучи внедренным в DLL-файл нужно получить адрес базы образа KERNEL32.DLL, как это сделать, если в стеке лежит адрес возврата не в Kernel32.dll, а в ntdll.dll (но так происходит не всегда), в конце структуры SEH в стеке тоже может лежать адрес где-то внутри ntdll.dll. Кто экспериментировал? Я придумал тут оригинальный способ поиска kernel32.dll, но он немного тормозлив, но зато надежен на все 100% - сканирование памяти от 0BFFF0000h до 00000000h на наличие сигнатур MZ, PE и KERNEL32.DLL в таблице эксорта, а какие вы знаете способы получения kernel32.dll? (SEH, PEB и адрес возврата не предлагайте, пожалуйста). Всем заранее спасибо!
