本文介绍了Windows进程的关键组成部分,包括访问令牌的使用和查看方法,PEB(进程环境块)的结构及其在用户空间的作用,SessionId的概念及其在多用户登录场景下的意义,以及进程ID和页目录基地址的作用。此外,还探讨了对象表格,用于句柄到内核对象的映射,并提供了WinDbg的相关命令进行调试和查看。
访问令牌:
TOKEN字段记录着这个进程的TOKEN结构地址,进程很多与安全有关的信息都在这个结构中。找到TOKEN字段值,然后用!Token命令查看。
也可以用dt nt!_TOKEN加上令牌地址来观察令牌对象。
PEB:
PEB即进程环境块,包含了进程的大多数用户态信息。与EPROCESS结构位于内核空间的不同,PEB是在内核态建立后映射到用户空间的,因此在一个系统中,多个进程的PEB地址可能是同一个值。
使用dt _PEB 可以显示PEB的字段及其值。因为PEB位于用户空间,所以内核调试会话中应该用.process命令设置当前的隐含进程。
SessionId:
指该进程所在的WINDOWS会话的ID号。当多个用户同时登录时,WINDOWS会为每个登录用户建立一个会话,每个会话有自己的workstation和桌面。当只有一个用户登录时,用户启动的程序和系统服务都
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
