如何使用windbg看eprocess的结构

最新推荐文章于 2023-07-20 10:40:18 发布
最新推荐文章于 2023-07-20 10:40:18 发布
阅读量6.8k 收藏 3
点赞数 2
分类专栏: 开发总结 文章标签: integer list c path session token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinlicang/article/details/4490203
版权
本文介绍了如何使用Windbg工具来查看_eprocess结构。首先,详细讲述了设置Windbg的symbol path的过程,包括本地和微软Symbol Server的配置。然后,通过输入`dt _eprocess`命令,展示了eprocess结构中的各项字段,包括Pcb、CreateTime、ExitTime等,为理解进程内部工作原理提供帮助。
摘要由CSDN通过智能技术生成
  • 安装windbg
  • 加入 symbol path

 运行WinDbg->菜单->File->Symbol File Path->按照下面的方法设置_NT_SYMBOL_PATH变量:

在 弹出的框中输入“C:/MyCodesSymbols; SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols”(按照这样设 置,WinDbg将先从本地文件夹C:/MyCodesSymbols中查找Symbol,如果找不到,则自动从MS的Symbol Server上下载Symbols)。另一种做法是从这个Symbol下载地址中http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx ,下载相应操作系统所需要的完整的Symbol安装包,并进行安装,例如我将其安装在D:/WINDOWS/Symbols,在该框中输入“D:/WINDOWS/Symbols”。(这里要注意下载的Symbols的版本一定要正确

 

  • 绑定到任何一个进程

 

  • 输入 dt  _eprocess 则会显示eprocess结构。

0:013> dt  _eprocess
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x06c ProcessLock      : _EX_PUSH_LOCK
   +0x070 CreateTime       : _LARGE_INTEGER
   +0x078 ExitTime         : _LARGE_INTEGER
   +0x080 RundownProtec

最低0.47元/天 解锁文章
qinlicang
关注
专栏目录
Windbg查看进程的_EPROCESS结构
never12345678的专栏
10-15 5804
最近研究某驱动DebugPort清零,学习了使用Windbg查看_EPROCESS结构地址,采用Syser下断查找清零代码。下面主要写下Windbg查看进程的_EPROCESS结构,便以后查阅。大家知道,每一个进程都对应一个_EPROCESS结构,我们如何确定一个进程的_EPROCESS地址呢?以notepad.exe为例使用Windbg的Kernel Debug,输入命令lkd> !process 0 0    //查看当前进程PROCESS 8a5e7088 SessionId: 0 Cid: 0ff0
windbg 查看结构体_windbg常见命令
weixin_34830055的博客
01-16 2042
WinDbgWinDbg支持以下三种类型的命令:·常规命令,用来调试进程·点命令,用来控制调试器·扩展命令,可以添加叫WinDbg的自定义命令,一般由扩展dll提供这些命令PDB文件PDB文件是由链接器产生的程序数据库文件。私有PDB文件包含私有和公有符号,源代码行,类型,本地和全局变量信息。公有PDB文件不包含类型,本地变量和源代码行信息,且只包含...
windbg 查看某个进程EPOCESS结构
huanongying131的博客
12-07 2013
转:http://blog.sina.com.cn/s/blog_5ddb672b01017xrh.html windbg 查看某个进程EPOCESS结构,debugport清零 内核调试下 1. !process 0 0 列出所有进程的信息 lkd> !process 0 0 Unable to read selector for PCR for processor 0 ***...
EPROCESS 结构
热门推荐
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
如何用windbg查看_eprocess结构
weixin_30340819的博客
05-15 714
打开菜单: File->Symbol File Path... 输入: C:/MyCodesSymbols; SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols 随便绑定一个进程,然后输入 dt _eprocess 转载于:https://www.cnblogs.com/IWings/p/685...
Windbg 2进程线程结构分析
fei1160688828的专栏
12-29 862
目录任务进程资源进程空间EPROCESS结构PEB内核模式和用户模式线程ETHREADTEBWOW进程注册表重定向注册表反射文件系统重定向创建进程最小进程和Pico进程最小进程任务管理器 任务 一个进程或者一个线程叫任务 进程资源 虚拟地址空间 全局唯一的进程ID 可执行映像 一个或多个线程 一个位于内核空间的EPROCESS 一个位于内核空间的对象句柄表 一个用于描述内存目录表其实位置的基地址 一个位于用户空间的进程环境块 一个访问令牌 进程空间 用户空间 内核空间 EPROCESS结构 1.查看所有
使用windbg调试进程线程数据结构
05-13
2. **查看EPROCESS结构**: - 在Windbg的命令行输入`dt _EPROCESS`或`dt EPROCESS`。 - 这个命令会显示`_EPROCESS`结构的所有字段及其值。由于`EPROCESS`结构非常复杂且包含大量信息,这里只展示一部分信息。 - **...
EPROCESS.rar_EPROCE_EPROCESS_EPROCESS win7_EPROCESS winxp_win 7
09-14
例如,通过调试器如WinDbg,可以查看和修改EPROCESS结构中的字段来影响进程的行为。开发者可能需要了解EPROCESS结构来编写内核模式驱动程序,以实现更精细的进程控制,如设置优先级、改变权限或者监控进程活动。 在...
软件调试笔记9 - Windows概要:进程结构:EPROCESS
imJaron的博客
11-23 651
下面,通过记事本程序来详细查看进程的每一项内容。 首先打开WINDBG并进入本地内核调试,然后打开记事本程序。用命令!process 0 0列出所有进程。 第一个参数0表示所有进程,第二个0表示基本的进程属性。 找到notepad.exe程序的内容。 EPROCESS结构Process后面的地址指向的就是EPROCESS结构,很多时候WINDOW
windbg下EPROCESS获取进程加载模块
125096
06-28 2707
//查看指定的进程信息 kd> !process 0 0 explorer.exe PROCESS 88adb2b0 SessionId: 1 Cid: 0534 Peb: 7ffdd000 ParentCid: 0520 DirBase: 3eb99280 ObjectTable: 8c033088 HandleCount: 674. Image: explore
记录windbg调试使用
weixin_41725706的博客
11-05 738
x64windbg调试进程和线程结构
windows环境下的自保护探究
hongduilanjun的博客
09-14 1300
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
Windows进程与线程学习笔记(一)—— 进程结构
qq_41988448的博客
11-12 1857
Windows进程与线程学习笔记(一)—— 进程结构体&线程结构体前言进程结构体 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 进程结构体 ...
_EPROCESS断链 —— 实现进程内核隐藏
walker的博客
03-06 2404
我们可以利用 _EPROCESS 结构体中的 ActiveProcessLinks 双向链表遍历进系统中的进程,并将特定进程从该双向链表中移除,以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程的结构体,每个进程都会有一个属于自己的结构体。同一个程序创建了多个进程,其就会有对应个数的 _EPROCESS 。 _EPROCESS结构如下: kd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb
通过ZwQuerySystemInformation获取EPROCESS
weixin_33672109的博客
01-08 527
google一下,发现很多都是直接通过ZwQuerySystemInformation通过11号获取进程结构SYSTEM_PROCESS_INFORMATION,对于详细的进程信息表达不够。所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。   typedef struct _SYS...
各系统 EPROCESS 结构
trents的专栏
02-18 4752
2000操作系统 nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x06c ExitStatus       : 259    +0x070 LockEvent        : _KEVENT    +0x080 LockCount        : 1    +0x088 CreateTime       : _LA
WinDbg调试命令
最新发布
xiejianjun417的专栏
07-20 698
windbg相关命令
windbg命令
qq726232111的博客
12-03 289
.hh -> 帮助文档 .prefer_dml 1 -> 启用DML .hh .prefer_dml -> 获取.prefer_dml帮助文档 vertarget
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值