Delphi-Quellcode:
hProc := OpenProcess(PROCESS_VM_READ or PROCESS_QUERY_INFORMATION, false, hProcId);
[...]
ReadProcessMemory(hProc, tm.modBaseAddr, @gDosHeader2, sizeof(TImageDosHeader), dwBytesRead);
ReadProcessMemory(hProc, PImageNtHeaders(Cardinal(tm.modBaseAddr) + gDosHeader2._lfanew), @gNtHeaders2, sizeof(TImageNtHeaders), dwBytesRead);
Und dann durchlaufe ich den Speicher von BaseOfCode nach BaseOfCode + SizeOfCode.