• EPROCESS ETHREAD PEB重要成员


    -----------------------------------------------------------------------win7 x86中----------------------------------------------------------------------------

    kd> dt _PEB
    nt!_PEB
    +0x000 InheritedAddressSpace : UChar
    +0x002 BeingDebugged : UChar

    +0x003 IsProtectedProcess : Pos 1, 1 Bit

    +0x008 ImageBaseAddress : Ptr32 Void


    +0x00c Ldr : Ptr32 _PEB_LDR_DATA
    +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS //指向_RTL_USER_PROCESS_PARAMETERS
    ------------------------------------------------------------------------------

        nt!_RTL_USER_PROCESS_PARAMETERS
        +0x000 MaximumLength : Uint4B
        +0x004 Length : Uint4B
        +0x008 Flags : Uint4B
        +0x00c DebugFlags : Uint4B

        +0x024 CurrentDirectory : _CURDIR
        +0x030 DllPath : _UNICODE_STRING
        +0x038 ImagePathName : _UNICODE_STRING
        +0x040 CommandLine : _UNICODE_STRING
        +0x048 Environment : Ptr32 Void

    ---------------------------------------------------------------------------------
    +0x018 ProcessHeap : Ptr32 Void


    +0x028 ProcessInJob : Pos 0, 1 Bit
    +0x028 ProcessInitializing : Pos 1, 1 Bit

    +0x02c KernelCallbackTable : Ptr32 Void


    +0x064 NumberOfProcessors : Uint4B


    +0x068 NtGlobalFlag : Uint4B

    +0x088 NumberOfHeaps : Uint4B


    +0x08c MaximumNumberOfHeaps : Uint4B


    +0x090 ProcessHeaps : Ptr32 Ptr32 Void


    +0x094 GdiSharedHandleTable : Ptr32 Void

    +0x0a4 OSMajorVersion : Uint4B
    +0x0a8 OSMinorVersion : Uint4B
    +0x0ac OSBuildNumber : Uint2B
    +0x0ae OSCSDVersion : Uint2B
    +0x0b0 OSPlatformId : Uint4B


    +0x1d4 SessionId : Uint4B

    ------------------------------------------------------------------------------

    nt!_EPROCESS
    +0x000 Pcb : _KPROCESS



    +0x0a0 CreateTime : _LARGE_INTEGER
    +0x0a8 ExitTime : _LARGE_INTEGER

    +0x0b4 UniqueProcessId : Ptr32 Void


    +0x0b8 ActiveProcessLinks : _LIST_ENTRY

    +0x0e0 VirtualSize : Uint4B

    +0x0ec DebugPort : Ptr32 Void

    +0x0f4 ObjectTable : Ptr32 _HANDLE_TABLE


    +0x0f8 Token : _EX_FAST_REF



    +0x110 PhysicalVadRoot : Ptr32 _MM_AVL_TABLE

    +0x120 Win32Process : Ptr32 Void
    +0x124 Job : Ptr32 _EJOB

    +0x140 InheritedFromUniqueProcessId : Ptr32 Void


    +0x168 Session : Ptr32 Void


    +0x16c ImageFileName : [15] UChar

    +0x188 ThreadListHead : _LIST_ENTRY

    +0x198 ActiveThreads : Uint4B

    +0x1a8 Peb : Ptr32 _PEB

    +0x264 HighestUserAddress : Ptr32 Void

    +0x26c ProtectedProcess : Pos 11, 1 Bit

    +0x270 NoDebugInherit : Pos 1, 1 Bit

    +0x270 ProcessInSession : Pos 16, 1 Bit


    +0x278 VadRoot : _MM_AVL_TABLE


  • 相关阅读:
    ios开发中的基本设计模式
    Swift进阶
    转帖:深入理解JavaScript系列
    触摸事件、手势识别、摇晃事件、耳机线控
    打造自己的“美图秀秀”
    地图与定位
    python 深拷贝,浅拷贝
    Django 路由(SimpleRouter, DefaultRouter,ExtendedDefaultRouter)
    Django 国际化(翻译)
    wkhtmltopdf 转换后 表格不显示 python解决方案
  • 原文地址:https://www.cnblogs.com/Reverser/p/4483281.html
Copyright © 2020-2023  润新知