下面,通过记事本程序来详细查看进程的每一项内容。
首先打开WINDBG并进入本地内核调试,然后打开记事本程序。用命令!process 0 0列出所有进程。 第一个参数0表示所有进程,第二个0表示基本的进程属性。
找到notepad.exe程序的内容。
EPROCESS结构:
Process后面的地址指向的就是EPROCESS结构,很多时候WINDOWS内核就是用这个指针来代表一个进程的。使用DT命令(显示类型结构命令)来观察该结构的各个字段和取值。
也可以用!process命令加上EPROCESS的地址来显示该进程的关键信息。