1.管理员权限启动windbg,ctrl + k --> Local

2. 启动计算器

3. !process 0 0 列出系统内的所有进程


4. dt \_EPROCESS 88270030 (查看calc.exe 的EPROCESS结构)

5.!process 88270030 (查看calc.exe 的关键信息)

6. !token b1430a38 (查看calc.exe 的token信息)

7.查看peb (内核模式下,先设置隐式进程)

.process 88270030 (设置calc.exe 为隐式进程)

软件调试实战:windbg 本地内核调试 (lkd 进程篇)一教程

dt \_PEB 7ffde000 (查看calc.exe peb)

8.!handle (查看calce.exe 句柄表 在calce.exe 进程环境)

.

标签: 进程, exe, 调试, process, calc, windbg, lkd

相关文章推荐

添加新评论,含*的栏目为必填