自定义博客皮肤VIP专享

*博客头图：

点击选择上传的图片

格式为PNG、JPG，宽度*高度大于1920*100像素，不超过2MB，主视觉建议放在右侧，请参照线上博客头图

请上传大于1920*100像素的图片！

博客底图：

点击选择上传的图片

图片格式为PNG、JPG，不超过1MB，可上下左右平铺至整个背景

栏目图：

点击选择上传的图片

图片格式为PNG、JPG，图片宽度*高度为300*38像素，不超过0.5MB

主标题颜色：

RGB颜色，例如：#AFAFAF

Hover：

RGB颜色，例如：#AFAFAF

副标题颜色：

RGB颜色，例如：#AFAFAF

预览取消提交

自定义博客皮肤

-+

上一步保存

never12345678的专栏

never12345678 优快云认证博客专家优快云认证企业博客

码龄17年

2: 原创

134万+: 周排名

53万+: 总排名

6559: 访问

: 等级

100: 积分

14: 粉丝

6: 获赞

0: 评论

4: 收藏

私信

关注

热门文章

分类专栏

学习心得 1篇
淡淡心情 1篇

学习心得

关注

文章平均质量分 77

关注数：文章数：1 文章阅读量：6075 文章收藏量：5

作者: never12345678

这个作者很懒，什么都没留下…

展开

Windbg查看进程的_EPROCESS结构

最近研究某驱动DebugPort清零，学习了使用Windbg查看_EPROCESS结构地址，采用Syser下断查找清零代码。下面主要写下Windbg查看进程的_EPROCESS结构，便以后查阅。大家知道，每一个进程都对应一个_EPROCESS结构,我们如何确定一个进程的_EPROCESS地址呢？以notepad.exe为例使用Windbg的Kernel Debug，输入命令lkd> !process 0 0 //查看当前进程PROCESS 8a5e7088 SessionId: 0 Cid: 0ff0

原创 2010-10-15 17:07:00 · 6076 阅读 · 0 评论