一、背景 Windows内核中有很多类型,例如PROCESS、THREAD、FILE、MUTANT,这些类型都由对象管理器集中管理,见下图: 其中有些对象类型是导出的,例如有IoDriverObjectType, PsProcessType等,有些是文档化的,有些是导出的,还有的是未导出的。在使用未导出的对象指针
1 1: kd> !devstack ffffaa820a7a4050 2 !DevObj !DrvObj !DevExt ObjectName 3 ffffaa820ada98d0 \Driver\partmgr ffffaa820ada9a20 4 ffffaa820add9060 \Driver\disk ffffaa820add91b0 DR1 5 > ff
进程资源 备注: 这里的命令都是基于内核dmp调试 kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS ffff84898203c440 ->// 内核空间中的EPROCESS(Executive process block, 进程执行块)结构,记录进程的关键信息,包括创建时间等等 SessionId: none Cid: 0004 Peb: 000000
