进程内存

最新推荐文章于 2023-06-11 23:57:54 发布
最新推荐文章于 2023-06-11 23:57:54 发布
阅读量287 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaoguodong/article/details/114684448
版权

ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x098 ProcessLock      : _EX_PUSH_LOCK
   +0x0a0 CreateTime       : _LARGE_INTEGER
   +0x0a8 ExitTime         : _LARGE_INTEGER
   +0x0b0 RundownProtect   : _EX_RUNDOWN_REF
   +0x0b4 UniqueProcessId  : Ptr32 Void
   +0x0b8 ActiveProcessLinks : _LIST_ENTRY
   +0x0c0 ProcessQuotaUsage : [2] Uint4B
   +0x0c8 ProcessQuotaPeak : [2] Uint4B
   +0x0d0 CommitCharge     : Uint4B
   +0x0d4 QuotaBlock       : Ptr32 _EPROCESS_QUOTA_BLOCK
   +0x0d8 CpuQuotaBlock    : Ptr32 _PS_CPU_QUOTA_BLOCK
   +0x0dc PeakVirtualSize  : Uint4B
   +0x0e0 VirtualSize      : Uint4B
   +0x0e4 SessionProcessLinks : _LIST_ENTRY
   +0x0ec DebugPort        : Ptr32 Void
   +0x0f0 ExceptionPortData : Ptr32 Void
   +0x0f0 ExceptionPortValue : Uint4B
   +0x0f0 ExceptionPortState : Pos 0, 3 Bits
   +0x0f4 ObjectTable      : Ptr32 _HANDLE_TABLE
   +0x0f8 Token            : _EX_FAST_REF
   +0x0fc WorkingSetPage   : Uint4B
   +0x100 AddressCreationLock : _EX_PUSH_LOCK
   +0x104 RotateInProgress : Ptr32 _ETHREAD
   +0x108 ForkInProgress   : Ptr32 _ETHREAD
   +0x10c HardwareTrigger  : Uint4B
   +0x110 PhysicalVadRoot  : Ptr32 _MM_AVL_TABLE
   +0x114 CloneRoot        : Ptr32 Void
   +0x118 NumberOfPrivatePages : Uint4B
   +0x11c NumberOfLockedPages : Uint4B
   +0x120 Win32Process     : Ptr32 Void
   +0x124 Job              : Ptr32 _EJOB
   +0x128 SectionObject    : Ptr32 Void
   +0x12c SectionBaseAddress : Ptr32 Void
   +0x130 Cookie           : Uint4B
   +0x134 Spare8           : Uint4B
   +0x138 WorkingSetWatch  : Ptr32 _PAGEFAULT_HISTORY
   +0x13c Win32WindowStation : Ptr32 Void
   +0x140 InheritedFromUniqueProcessId : Ptr32 Void
   +0x144 LdtInformation   : Ptr32 Void
   +0x148 VdmObjects       : Ptr32 Void
   +0x14c ConsoleHostProcess : Uint4B
   +0x150 DeviceMap        : Ptr32 Void
   +0x154 EtwDataSource    : Ptr32 Void
   +0x158 FreeTebHint      : Ptr32 Void
   +0x160 PageDirectoryPte : Uint8B
   +0x168 Session          : Ptr32 Void
   +0x16c ImageFileName    : [15] UChar
   +0x17b PriorityClass    : UChar
   +0x17c JobLinks         : _LIST_ENTRY
   +0x184 LockedPagesList  : Ptr32 Void
   +0x188 ThreadListHead   : _LIST_ENTRY
   +0x190 SecurityPort     : Ptr32 Void
   +0x194 PaeTop           : Ptr32 Void
   +0x198 ActiveThreads    : Uint4B
   +0x19c ImagePathHash    : Uint4B
   +0x1a0 DefaultHardErrorProcessing : Uint4B
   +0x1a4 LastThreadExitStatus : Int4B
   +0x1a8 Peb              : Ptr32 _PEB
   +0x1ac PrefetchTrace    : _EX_FAST_REF
   +0x1b0 ReadOperationCount : _LARGE_INTEGER
   +0x1b8 WriteOperationCount : _LARGE_INTEGER
   +0x1c0 OtherOperationCount : _LARGE_INTEGER
   +0x1c8 ReadTransferCount : _LARGE_INTEGER
   +0x1d0 WriteTransferCount : _LARGE_INTEGER
   +0x1d8 OtherTransferCount : _LARGE_INTEGER
   +0x1e0 CommitChargeLimit : Uint4B
   +0x1e4 CommitChargePeak : Uint4B
   +0x1e8 AweInfo          : Ptr32 Void
   +0x1ec SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
   +0x1f0 Vm               : _MMSUPPORT
   +0x25c MmProcessLinks   : _LIST_ENTRY
   +0x264 HighestUserAddress : Ptr32 Void
   +0x268 ModifiedPageCount : Uint4B
   +0x26c Flags2           : Uint4B
   +0x26c JobNotReallyActive : Pos 0, 1 Bit
   +0x26c AccountingFolded : Pos 1, 1 Bit
   +0x26c NewProcessReported : Pos 2, 1 Bit
   +0x26c ExitProcessReported : Pos 3, 1 Bit
   +0x26c ReportCommitChanges : Pos 4, 1 Bit
   +0x26c LastReportMemory : Pos 5, 1 Bit
   +0x26c ReportPhysicalPageChanges : Pos 6, 1 Bit
   +0x26c HandleTableRundown : Pos 7, 1 Bit
   +0x26c NeedsHandleRundown : Pos 8, 1 Bit
   +0x26c RefTraceEnabled  : Pos 9, 1 Bit
   +0x26c NumaAware        : Pos 10, 1 Bit
   +0x26c ProtectedProcess : Pos 11, 1 Bit
   +0x26c DefaultPagePriority : Pos 12, 3 Bits
   +0x26c PrimaryTokenFrozen : Pos 15, 1 Bit
   +0x26c ProcessVerifierTarget : Pos 16, 1 Bit
   +0x26c StackRandomizationDisabled : Pos 17, 1 Bit
   +0x26c AffinityPermanent : Pos 18, 1 Bit
   +0x26c AffinityUpdateEnable : Pos 19, 1 Bit
   +0x26c PropagateNode    : Pos 20, 1 Bit
   +0x26c ExplicitAffinity : Pos 21, 1 Bit
   +0x26c Spare1           : Pos 22, 1 Bit
   +0x26c ForceRelocateImages : Pos 23, 1 Bit
   +0x26c DisallowStrippedImages : Pos 24, 1 Bit
   +0x26c LowVaAccessible  : Pos 25, 1 Bit
   +0x26c RestrictIndirectBranchPrediction : Pos 26, 1 Bit
   +0x26c AddressPolicyFrozen : Pos 27, 1 Bit
   +0x26c MemoryDisambiguationDisable : Pos 28, 1 Bit
   +0x270 Flags            : Uint4B
   +0x270 CreateReported   : Pos 0, 1 Bit
   +0x270 NoDebugInherit   : Pos 1, 1 Bit
   +0x270 ProcessExiting   : Pos 2, 1 Bit
   +0x270 ProcessDelete    : Pos 3, 1 Bit
   +0x270 Wow64SplitPages  : Pos 4, 1 Bit
   +0x270 VmDeleted        : Pos 5, 1 Bit
   +0x270 OutswapEnabled   : Pos 6, 1 Bit
   +0x270 Outswapped       : Pos 7, 1 Bit
   +0x270 ForkFailed       : Pos 8, 1 Bit
   +0x270 Wow64VaSpace4Gb  : Pos 9, 1 Bit
   +0x270 AddressSpaceInitialized : Pos 10, 2 Bits
   +0x270 SetTimerResolution : Pos 12, 1 Bit
   +0x270 BreakOnTermination : Pos 13, 1 Bit
   +0x270 DeprioritizeViews : Pos 14, 1 Bit
   +0x270 WriteWatch       : Pos 15, 1 Bit
   +0x270 ProcessInSession : Pos 16, 1 Bit
   +0x270 OverrideAddressSpace : Pos 17, 1 Bit
   +0x270 HasAddressSpace  : Pos 18, 1 Bit
   +0x270 LaunchPrefetched : Pos 19, 1 Bit
   +0x270 InjectInpageErrors : Pos 20, 1 Bit
   +0x270 VmTopDown        : Pos 21, 1 Bit
   +0x270 ImageNotifyDone  : Pos 22, 1 Bit
   +0x270 PdeUpdateNeeded  : Pos 23, 1 Bit
   +0x270 VdmAllowed       : Pos 24, 1 Bit
   +0x270 CrossSessionCreate : Pos 25, 1 Bit
   +0x270 ProcessInserted  : Pos 26, 1 Bit
   +0x270 DefaultIoPriority : Pos 27, 3 Bits
   +0x270 ProcessSelfDelete : Pos 30, 1 Bit
   +0x270 SetTimerResolutionLink : Pos 31, 1 Bit
   +0x274 ExitStatus       : Int4B
   +0x278 VadRoot          : _MM_AVL_TABLE  //搜索二叉树 线性地址
   +0x298 AlpcContext      : _ALPC_PROCESS_CONTEXT
   +0x2a8 TimerResolutionLink : _LIST_ENTRY
   +0x2b0 RequestedTimerResolution : Uint4B
   +0x2b4 ActiveThreadsHighWatermark : Uint4B
   +0x2b8 SmallestTimerResolution : Uint4B
   +0x2bc TimerResolutionStackRecord : Ptr32 _PO_DIAG_STACK_RECORD
   +0x2c0 SequenceNumber   : Uint8B
   +0x2c8 CreateInterruptTime : Uint8B
   +0x2d0 CreateUnbiasedInterruptTime : Uint8B
   +0x2d8 SecurityDomain   : Uint8B


((ntdll!_MM_AVL_TABLE *)0xffffffff85fb59b0)                 : 0xffffffff85fb59b0 [Type: _MM_AVL_TABLE *]
    [+0x000] BalancedRoot     [Type: _MMADDRESS_NODE]
    [+0x014 ( 4: 0)] DepthOfTree      : 0x8 [Type: unsigned long]
    [+0x014 ( 7: 5)] Unused           : 0x0 [Type: unsigned long]
    [+0x014 (31: 8)] NumberGenericTableElements : 0x4a [Type: unsigned long]
    [+0x018] NodeHint         : 0x875e9dc8 [Type: void *]
    [+0x01c] NodeFreeHint     : 0x0 [Type: void *]

((ntdll!_MMADDRESS_NODE *)0xffffffff85fb59b0)                 : 0xffffffff85fb59b0 [Type: _MMADDRESS_NODE *]
    [+0x000] u1               [Type: <unnamed-tag>]
    [+0x004] LeftChild        : 0x0 [Type: _MMADDRESS_NODE *]
    [+0x008] RightChild       : 0x875e9dc8 [Type: _MMADDRESS_NODE *]
    [+0x00c] StartingVpn      : 0x0 [Type: unsigned long]
    [+0x010] EndingVpn        : 0x0 [Type: unsigned long]

(*((ntdll!_MMADDRESS_NODE *)0x875e9dc8))                 [Type: _MMADDRESS_NODE]
    [+0x000] u1               [Type: <unnamed-tag>]
ReadVirtual: 875e9dcc not properly sign extended
    [+0x004] LeftChild        : 0x85ea9570 [Type: _MMADDRESS_NODE *]
    [+0x008] RightChild       : 0x8790a4e8 [Type: _MMADDRESS_NODE *]
    [+0x00c] StartingVpn      : 0x1490 [Type: unsigned long]
    [+0x010] EndingVpn        : 0x156e [Type: unsigned long]
nt!_MMVAD
   +0x000 u1               : <unnamed-tag>
   +0x004 LeftChild        : (null)
   +0x008 RightChild       : 0x875e9dc8 _MMVAD
   +0x00c StartingVpn      : 0
   +0x010 EndingVpn        : 0
   +0x014 u                : <unnamed-tag>
   +0x018 PushLock         : _EX_PUSH_LOCK
   +0x01c u5               : <unnamed-tag>
   +0x020 u2               : <unnamed-tag>
   +0x024 Subsection       : 0x95eb26e4 _SUBSECTION
   +0x024 MappedSubsection : 0x95eb26e4 _MSUBSECTION
   +0x028 FirstPrototypePte : 0x95eb26e4 _MMPTE
   +0x02c LastContiguousPte : (null)
   +0x030 ViewLinks        : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x038 VadsProcess      : (null)
nt!_MMVAD_FLAGS(_MMVAD+14)
   +0x000 CommitCharge     : 0y0000100010000000111 (0x4407)
   +0x000 NoChange         : 0y0
   +0x000 VadType          : 0y000
   +0x000 MemCommit        : 0y0
   +0x000 Protection       : 0y00000 (0)
   +0x000 Spare            : 0y00
   +0x000 PrivateMemory    : 0y0


StartingVpn      EndingVpn        线性地址的 区间  4KB对齐   后面加000

!vad vadroot

 !vad 0xffffffff85fb59b0
VAD   Level     Start       End Commit
000001c8: Unable to get nt!_FILE_OBJECT.FileName.Buffer
85fb59b0  0         0         0  17415 Mapped       NO_ACCESS          (null)
862fb0a0  5        10        1f      0 Mapped       READWRITE          Pagefile section, shared commit 0x10
87439530  6        20        20      1 Private      READWRITE          
8631db30  4        30       12f      7 Private      READWRITE          
8776fa10  5       130       133      0 Mapped       READONLY           Pagefile section, shared commit 0x4
85f30a68  3       140       141      0 Mapped       READONLY           Pagefile section, shared commit 0x2
87827c48  6       150       150      1 Private      READWRITE          
87577100  5       160       1c6      0 Mapped       READONLY           \Windows\System32\locale.nls
876c2eb0  4       1d0       1d0      1 Private      READWRITE          
87628108  6       1e0       1e0      0 Mapped       READWRITE          Pagefile section, shared commit 0x1
877280f0  5       1f0       1f1      0 Mapped       READONLY           Pagefile section, shared commit 0x2
86f22bc0  7       200       205      0 Mapped       READONLY           Pagefile section, shared commit 0x6
874e6458  6       210       210      1 Private      READWRITE          
8771a990  7       220       220      0 Mapped       READWRITE          Pagefile section, shared commit 0x1
85ea9570  2       230       32f     55 Private      READWRITE          
860a5130  5       340       3bf      1 Private      READWRITE          
8606ec20  6       3c0       3c2      3 Mapped       WRITECOPY          \Windows\System32\zh-CN\user32.dll.mui
87872138  4       3d0       3df      3 Private      READWRITE          
86318a00  5       3e0       3e0      1 Mapped       WRITECOPY          \Windows\System32\en-US\imageres.dll.mui
862b7838  6       3f0       3f0      0 Mapped       READWRITE          Pagefile section, shared commit 0x1
87612c48  3       400       488     25 Mapped  Exe  EXECUTE_WRITECOPY  \Users\acer\Desktop\Dbgview.exe
87880660  6       490       557      0 Mapped       READONLY           Pagefile section, shared commit 0x5
8777d948  5       560       5a9     74 Mapped       WRITECOPY          \Windows\System32\zh-CN\KernelBase.dll.mui
87514dd8  4       5e0       5e7      8 Private      READWRITE          
878c2870  6       610       61f      3 Private      READWRITE          
877d2548  5       640       67f      1 Private      READWRITE          
876cc848  7       680       780      0 Mapped       READONLY           Pagefile section, shared commit 0x101
87156378  6       790      138f      0 Mapped       READONLY           Pagefile section, shared commit 0x25
873db460  7      1390      148f      3 Private      READWRITE          
875e9dc8  1      1490      156e      0 Mapped       READONLY           Pagefile section, shared commit 0xdf
85fd49f8  7      15b0      15ef     27 Private      READWRITE          
86315878  6      1670      16af     62 Private      READWRITE          
8778dd08  7      16b0      1fdf      0 Mapped       READONLY           \Windows\Fonts\StaticCache.dat
860a4cb8  5      1fe0      22ae      0 Mapped       READONLY           \Windows\Globalization\Sorting\SortDefault.nls
876bfa40  7      22b0      3604      0 Mapped       READONLY           \Windows\System32\imageres.dll
875f33d0  6      3610      39f4      0 Mapped       READONLY           Pagefile section, shared commit 0x3e5
85f5a518  7      3a00      3aff      3 Private      READWRITE          
8606a938  4     71750     71761      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\mpr.dll
8790d6a0  7     74560     7459f      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\uxtheme.dll
85c4f8e8  6     746b0     7484d      4 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d\comctl32.dll
87495f08  7     75a00     75a0b      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\cryptbase.dll
87803648  5     75b30     75b7a      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\KernelBase.dll
87393d80  7     75e50     75e62      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\dwmapi.dll
860231c8  6     75e90     75f2c      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\usp10.dll
8631d4c0  7     75f30     75f35      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\nsi.dll
8632c2e8  3     761c0     76294      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\kernel32.dll
8780cfb8  7     762a0     76368      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\user32.dll
876cc6c0  6     76370     76411      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\rpcrt4.dll
87764300  5     76480     770cb      9 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\shell32.dll
8779d2c0  7     772e0     773ac      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\msctf.dll
875d4f08  6     773b0     773fd      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\gdi32.dll
87825ed8  7     77400     77409      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\lpk.dll
85f26928  4     77460     77494      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\ws2_32.dll
877d24b8  6     774b0     774ce      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\imm32.dll
86078938  5     77550     775e0      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\oleaut32.dll
874922d0  6     77600     776a0      5 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\advapi32.dll
8790a4e8  2     77830     778db      8 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\msvcrt.dll
87710098  5     778e0     77936      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\shlwapi.dll
878a5600  4     77940     77958      4 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\sechost.dll
874cc6d8  6     77960     77abe      5 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\ole32.dll
8606e838  5     77c60     77cda      5 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\comdlg32.dll
878daeb8  3     77d10     77e51     10 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\ntdll.dll
8650eda0  5     77f70     77f70      0 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\apisetschema.dll
86336470  6     7f6f0     7f7ef      0 Mapped       READONLY           Pagefile section, shared commit 0x5
877376a8  4     7ffa0     7ffd2      0 Mapped       READONLY           Pagefile section, shared commit 0x33
875f8008  6     7ffd7     7ffd7      1 Private      READWRITE          
85fd46e0  5     7ffdd     7ffdd      1 Private      READWRITE          
87685568  6     7ffde     7ffde      1 Private      READWRITE          
8775c058  7     7ffdf     7ffdf      1 Private      READWRITE

Private     通过 VirtualAlloc/Ex   
Mapped   通过CreateMapping  共享文件 共享物理页

new-malloc-heapalloc->从已经分配好的内存 取出一块  堆栈 全局变量
LoadLibray -- 属性写拷贝  PTE的、R/W位 为0 引起缺页异常 检查VAD的属性 为写拷贝 创建一个新的物理页

物理内存 10-10-12 分页 最多识别 4GB
              2-9-9-12分页 最多识别64GB
MmNumberOfPhysicalPages * 4 =物理内存

_MMPFN* MmPfnDatabase

_MMPFN 页帧
nt!_MMPFN       size 1c
   +0x000 u1               : <unnamed-tag>
   +0x004 u2               : <unnamed-tag>
   +0x008 PteAddress       : Ptr32 _MMPTE
   +0x008 VolatilePteAddress : Ptr32 Void
   +0x008 Lock             : Int4B
   +0x008 PteLong          : Uint4B
   +0x00c u3               : <unnamed-tag>
   +0x010 OriginalPte      : _MMPTE
   +0x010 AweReferenceCount : Int4B
   +0x018 u4               : <unnamed-tag>

坏链 MmBadPagelistHead
零化链表 MmZeroedPagelistHead
空闲链表 MmFreePagelistHead
备用链表 MmStandbyPageListHead
MmModifiedPageListHead
MmModifiedNoWritePageListHead
 !vtop 19001e0(CR3) 7c80aedb(虚拟地址)
虚拟内存 Pagefile.sys    物理内存写入到文件中P置0 修改偏移地址为pagefile.sys中的偏移 当被访问时产生 缺页异常 --把pte重新装到物理内存 修改P位为1 偏移地址修改为物理地址

 

Gondon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTML112k病毒,恶意软件分析 & URL链接扫描 免费在线病毒分析平台 | 魔盾安全分析...
weixin_36300275的博客
06-20 589
C:\Windows\Globalization\Sorting\sortdefault.nls\Device\KsecDDC:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbkC:\ProgramData\Microsoft\Network\Connections\Pbk\*.pbkC:\Windows\System32\ras...
signature=0b27c655e30da254be058aa59e22d3b0,恶意软件分析 & URL链接扫描 免费在线病毒分析平台 | 魔盾安全分析...
weixin_39664696的博客
05-30 112
C:\Windows\Globalization\Sorting\sortdefault.nlsC:\Users\test\AppData\Local\GDIPFONTCACHEV1.DATC:\Windows\Fonts\AGENCYR.TTFC:\Windows\Fonts\simsun.ttcC:\Users\test\AppData\Local\Temp\1cabaaa.tmpC:\Win...
nls_sort与汉字排序
ciqu9915的博客
03-22 155
朋友在进行报表需求评估的时候,突然问笔者一个问题:在数据库里面,汉字进行排序的顺序是按照什么方法?对空值null,是排在第一位还是最后一位?当时做了一个简单的小实验,立刻获得了答案。但是之后,在想是不是还有其它方式进行排序...
如何在qnx上获取进程内存_如何在qnx上获取进程内存_
10-01
在QNX操作系统上获取进程内存信息是系统管理和性能优化的重要环节。QNX是一个实时操作系统,广泛应用于嵌入式系统和工业设备中。了解一个进程内存使用情况有助于开发者诊断内存泄漏、优化资源分配以及确保系统的...
清理指定进程内存小工具
05-04
网上的内存优化工具有很多,但都是请立全部进程内存。这个小工具可以实现请立指定进程功能,选择要请立的进程,选择请立进程时间间隔,开启后就可以自动清理了。
申请远程进程内存空间易语言模块源码
05-28
在IT行业中,远程进程内存操作是一项高级技术,它允许程序在其他进程的上下文中执行操作,比如读取或写入数据。"申请远程进程内存空间易语言模块源码"这个资源提供了一个用易语言编写的模块,使得开发者能够实现这样...
易语言-易语言汇编读写进程内存
06-25
《易语言与汇编在读写进程内存中的应用》 在计算机编程中,尤其是在系统级操作和游戏修改等领域,读写进程内存是一项重要的技术。易语言作为一款中国本土的编程语言,以其简单易学的特点受到许多程序员的青睐。而...
进程内存监控器
11-02
1、获取某个进程运行的内存数据,实时监控其数据变化情况。 2、内存即为任务管理器中看到的内存大小 3、数据保存在csv文件中。 4、该工具支持在有.net4.0以上的系统上运行 5、可在界面配置读取内存的时间间隔、要...
windows之 访问控制模型
点点灵犀
06-10 2235
当一个线程使用Open*打开一个内核对象时,会发生什么? 有两种可能: 1. 打开成功,拿到句柄 2. 打开失败 这不是废话么?!为啥打开失败呢?有两种可能: 1. 当前线程不具有指定的特权 2.  权限不足(由dwDesiredAccess参数指定权限) 这个时候就引入了今天的主题:令牌(包含特权列表)和安全描述符(描述用户权限)。 Token token是什么?对
write virtual: not properly sign extended
最新发布
weixin_43751677的博客
06-11 241
参考这篇博客,并且卸载VC ++ 2010 Redistributable。下载对应的符号表,填入。打开windbg后会提示 找不到符号表,只能去网上下载了。win7的sdk中的windbg来调试。1.xp系统只能使用这个链接。
内核下枚举进程(一)进程活动链
10-08 198
今天学会了一种在内核下枚举进程的方法,写下来与大家共享。用到了的是EPROCESS 结构,EPROCESS 是一个关于进程的结构,此结构很庞大,包括的内容非常丰富.由于此结构未文档化所以用windbg来查看输入dt _eprocess命令查看该结构如下: ntdll!_EPROCESS +0x000 Pcb : _KPROCESS //进程控制...
psutil:系统、进程,信息都在我的掌握之中
CWG2017的博客
06-30 644
获取cpu的逻辑数量 import psutil print(psutil.cpu_count()) # 12 获取CPU的物理核心数 import psutil print(psutil.cpu_count(logical=False)) # 6 结果为6,说明6核超线程,12的话说明是12核非超线程 统计CPU的用户/系统/空闲时间 import psutil prin...
Windows内核基础之进程
tutucoo
12-07 865
1. 进程结构体EPROCESS 每个运行中的进程在Windows内核中都有一个EPROCESS的结构体,这个结构体包含了进程所有重要的信息。 在WinDbg中使用指令dt _EPROCESS可以查看进程结构体的所有成员。 nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x098 ProcessLock : _EX_PUS...
webpack 学习笔记(未完成)
qq_43262022的博客
09-04 367
webpack 学习笔记 个人理解:webpack 打包工具,从入口文件入手(通常是 src 下的 index.js),通过模块语法等关联起其他文件,如 css 文件 、js 文件等。结合起来就是 chunk 代码块,经过对 js 文件语法、css 文件进行 loader 处理或者plugins 插件的处理,最后打包到出口文件 bundle.js 。 一、开始接触 webpack 在项目下安装 webpack 首先初始化,输入npm init -y,安装 webpack ,执行命令npm i webpa
NLS_SORT和NLS_COMP的设置影响性能
冰刀(skate)
03-04 2754
author:skatetime:2010/03/04NLS_SORT和NLS_COMP的设置影响性能  通过设置这两个参数可以实现自定义的排序和比较的方式,虽然对写程序有优点,但他也会带来负面的影响就是导致sql不走索引,而走全表扫描,当表的数据量很大是,非常影响性能 NLS_SORT和NLS_COMP是10g的新特性,大家在使用新特性的不要只考虑其优点,也要注意它带
Process Explorer简易图文教程(下)
raiven2008的专栏
08-29 3801
查看堆栈信息定位进程崩溃 出现崩溃界面,现在打开process explorer,配置好symbols path(pdb文件在编译的时候就一起生成了,拷贝到指定目录即可),找到对应的exe进程,然后双击打开属性,查看线程信息。   找到主线程,双击进入,查看堆栈信息。会发现程序在执行某句代码的时候就开始报错。所以直接怀疑此处代码,就能锁定问题原因了。   注意:process ex...
nls_sort和nlssort 排序功能介绍
rendiyi的专栏
12-14 1064
(1)ALTER SESSION SET NLS_SORT='';排序影响整个会话 Oracle9i之前,中文是按照二进制编码进行排序的。     在oracle9i中新增了按照拼音、部首、笔画排序功能。设置NLS_SORT值     SCHINESE_RADICAL_M按照部首(第一顺序)、笔划(第二顺序)排序     SCHINESE_STROKE_M按照笔划(第一顺序)、部首(
linux查看进程内存
03-16
要查看Linux中进程内存使用情况,可以使用以下命令: 1. top命令:可以实时查看系统中进程的CPU、内存等资源使用情况,可以按照内存使用量排序...以上是常用的Linux查看进程内存的命令,可以根据实际情况选择使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值