fuzang 发表于 2011-8-7 16:04:14

Windbg如何查看进程的_EPROCESS结构

最近研究某驱动DebugPort清零,学习了使用Windbg查看_EPROCESS结构地址,采用Syser下断查找清零代码。

下面主要写下Windbg查看进程的_EPROCESS结构,便以后查阅。

大家知道,每一个进程都对应一个_EPROCESS结构,我们如何确定一个进程的_EPROCESS地址呢?以notepad.exe为例

使用Windbg的Kernel Debug,输入命令

**** Hidden Message *****

yq8308 发表于 2011-9-4 12:18:50

学习下怎么用

wu0you123 发表于 2011-9-10 16:01:59

顶了 www.kanliuxing.com 谢谢楼主

ms2146 发表于 2011-9-16 01:04:15

学习下,,谢谢。。

akenabc123 发表于 2011-10-26 16:30:25

学习下,,谢谢。。

yvqvan 发表于 2011-10-26 17:07:50

继续学习观看继续学习观看

wqs3568 发表于 2012-3-19 14:06:15

学习技术来了

1163304788 发表于 2013-6-28 11:28:06

看看学习下

yunming 发表于 2013-7-19 12:08:37

1111111111111111

cooby 发表于 2013-9-23 08:52:47

好东西大家分享,下来试用
页: [1] 2
查看完整版本: Windbg如何查看进程的_EPROCESS结构