zoukankan      html  css  js  c++  java

  • EPROCESS ETHREAD PEB重要成员

    -----------------------------------------------------------------------win7 x86中----------------------------------------------------------------------------

    kd> dt _PEB
    nt!_PEB
    +0x000 InheritedAddressSpace : UChar
    +0x002 BeingDebugged : UChar

    +0x003 IsProtectedProcess : Pos 1, 1 Bit

    +0x008 ImageBaseAddress : Ptr32 Void


    +0x00c Ldr : Ptr32 _PEB_LDR_DATA
    +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS //指向_RTL_USER_PROCESS_PARAMETERS
    ------------------------------------------------------------------------------

        nt!_RTL_USER_PROCESS_PARAMETERS
        +0x000 MaximumLength : Uint4B
        +0x004 Length : Uint4B
        +0x008 Flags : Uint4B
        +0x00c DebugFlags : Uint4B

        +0x024 CurrentDirectory : _CURDIR
        +0x030 DllPath : _UNICODE_STRING
        +0x038 ImagePathName : _UNICODE_STRING
        +0x040 CommandLine : _UNICODE_STRING
        +0x048 Environment : Ptr32 Void

    ---------------------------------------------------------------------------------
    +0x018 ProcessHeap : Ptr32 Void


    +0x028 ProcessInJob : Pos 0, 1 Bit
    +0x028 ProcessInitializing : Pos 1, 1 Bit

    +0x02c KernelCallbackTable : Ptr32 Void


    +0x064 NumberOfProcessors : Uint4B


    +0x068 NtGlobalFlag : Uint4B

    +0x088 NumberOfHeaps : Uint4B


    +0x08c MaximumNumberOfHeaps : Uint4B


    +0x090 ProcessHeaps : Ptr32 Ptr32 Void


    +0x094 GdiSharedHandleTable : Ptr32 Void

    +0x0a4 OSMajorVersion : Uint4B
    +0x0a8 OSMinorVersion : Uint4B
    +0x0ac OSBuildNumber : Uint2B
    +0x0ae OSCSDVersion : Uint2B
    +0x0b0 OSPlatformId : Uint4B


    +0x1d4 SessionId : Uint4B

    ------------------------------------------------------------------------------

    nt!_EPROCESS
    +0x000 Pcb : _KPROCESS



    +0x0a0 CreateTime : _LARGE_INTEGER
    +0x0a8 ExitTime : _LARGE_INTEGER

    +0x0b4 UniqueProcessId : Ptr32 Void


    +0x0b8 ActiveProcessLinks : _LIST_ENTRY

    +0x0e0 VirtualSize : Uint4B

    +0x0ec DebugPort : Ptr32 Void

    +0x0f4 ObjectTable : Ptr32 _HANDLE_TABLE


    +0x0f8 Token : _EX_FAST_REF



    +0x110 PhysicalVadRoot : Ptr32 _MM_AVL_TABLE

    +0x120 Win32Process : Ptr32 Void
    +0x124 Job : Ptr32 _EJOB

    +0x140 InheritedFromUniqueProcessId : Ptr32 Void


    +0x168 Session : Ptr32 Void


    +0x16c ImageFileName : [15] UChar

    +0x188 ThreadListHead : _LIST_ENTRY

    +0x198 ActiveThreads : Uint4B

    +0x1a8 Peb : Ptr32 _PEB

    +0x264 HighestUserAddress : Ptr32 Void

    +0x26c ProtectedProcess : Pos 11, 1 Bit

    +0x270 NoDebugInherit : Pos 1, 1 Bit

    +0x270 ProcessInSession : Pos 16, 1 Bit


    +0x278 VadRoot : _MM_AVL_TABLE
  • 相关阅读:
    centos7.9安装Oracle 19c数据库(rpm方式)
    tomcat配置404/500自定义错误页面
    centos7.7部署多个tomcat服务器
    Linux配置Tomcat实现双向SSL认证(使用keytool工具生成证书)
    C#方法的多值返回方式
    Unity 判断2D/3D坐标系下的一个点是否在指定的摄像机视野范围内
    Unity项目的APK在雷电模拟器上弹出 "XXX停止运行"或者“XXX屡次停止运行”
    Python调用Unity工程下CSharp代码中的静态方法
    C#如何屏蔽程序的多次启动
    Something about My Blog
  • 原文地址:https://www.cnblogs.com/Reverser/p/4483281.html
Copyright © 2011-2022 走看看