总结及效果

1. 获取cbdhsvc所在svchost的pid
2. openprocess 然后 枚举其中的模块 找到windows.applicationmodel.datatransfer.dll
3. 扫整个已提交的私有内存 RW权限, 解析结构
4. 如果在rdata就直接输出 过滤掉指针