1、VS2015启动驱动调试后,在调试命令行输入相应的windbg命令,
1)dt nt!_EPROCESS,查看EPROCESS
2)dt _peb,查看peb
3)dt _PEB_LDR_DATA,查看PEB_LDR_DATA
4)dt _LDR_DATA_TABLE_ENTRY ,查看LDR_DATA_TABLE_ENTRY结构定义。
nt!_LDR_DATA_TABLE_ENTRY
+0x000 InLoadOrderLinks : _LIST_ENTRY
+0x010 InMemoryOrderLinks : _LIST_ENTRY
+0x020 InInitializationOrderLinks : _LIST_ENTRY
+0x030 DllBase : Ptr64 Void
+0x038 EntryPoint : Ptr64 Void
+0x040 SizeOfImage : Uint4B
+0x048 FullDllName : _UNICODE_STRING
+0x058 BaseDllName : _UNICODE_STRING
+0x068 FlagGroup : [4] UChar
+0x068 Flags : Uint4B
+0x068 PackagedBinary : Pos 0, 1 Bit
+0x068 MarkedForRemoval : Pos 1, 1 Bit
+0x068 ImageDll : Pos 2, 1 Bit
+0x068 LoadNotifica