die adresse liegt irgendwo in der dll

d.h. z.b. an 00411234 mit dem and bekommt man dann 00410000 raus, darauf wird dann en GetModuleFileName ausgeführt -> ist es ein gültiger dll handle (also gültige dll base, da es das selbe ist) dann bekommt man nen pfad zu der dll zurück.
ist der rückgabewert 0 dann muss man 100000 abziehen und das wieder holen d.h. in obigen fall würde man dann getmodulefilename auf 00400000 ausführen was dem handle der exe entspicht, jetzt würde man halt den pfad zu der exe bekommen und man hat nen gültiges handle/imagebase gefunden.