http://blog.csdn.net/wxqian25/article/details/18406635
首先用windbg打开notepad.exe;
dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。
下面用dt命令查看Win7结构体;
查看peb结构;
查看eprocess结构;
查看特定地址的eprocess结构内容;
*是通配符;显示所有peb打头的结构体名称;
枚举ntkrnlmp中带"Object"的结构体名称;
没有,本机记事本没载入ntkrnlmp模块;
lm列出所有模块看下;
下面命令会列出ntdll中的全部结构体,导出的函数名也会列出;见下面二图;
下面命令将列出kernel32导出的文件操作相关的函数名;
查看security_attributes结构体;为何看不到呢;
看前面的lm命令列出的模块列表;
只有ntdll显示pdb symbols,其他模块显示deferred;这是啥情况,不太清楚;下次再搞;
查看teb结构体;
列举kernel32中的结构体,没列出;
列出ntdll中的结构体;
lmf命令列出模块,以及对应的文件名;