一: 查看结构定义:
1. 查看eprocess的结构: dt _EPROCESS
2. .....kprocess : dt _KPROCESS
相关的内容:
dt pspcidtable
dt _HANDLE_TABLE
如果要查看具体的结构: 使用 dt _eprocess 0x80001234(eprocess 的地址)
dt _HANDLE_TABLE 8114a938
二: 枚举进程信息:
!process 0 0
三。 以**结构查看某个地址
!handle 0x******
!object 0x*******
!thread 0x*******