- 博客(4)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 关于PspCidTable
PspCidTable为一个全局变量,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID 2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER) 3.PspCidTable
2014-10-20 00:36:49
920
原创 Windows句柄表学习笔记
遍历系统进程有一种方法就是通过解析句柄表来遍历,于是学习了一下Windows句柄表。句柄表位于EPROCESS结构的+0x0f4 偏移处(win7x86),先来看一下句柄表的结构: kd> dt 0x83d58fc0 _HANDLE_TABLEnt!_HANDLE_TABLE +0x000 TableCode : 0x94bac001 //句柄表 +0x0
2014-10-17 23:16:37
2105
原创 《Windows内核原理与实现》第三章学习笔记---KPROCESS学习
typedef struct _KPROCESS { // // The dispatch header and profile listhead are fairly infrequently // referenced. // DISPATCHER_HEADER Header; //表明KPROCESS也是一个分发器对象(dispatcher o
2014-10-16 00:48:10
2892
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人