VBGood网站全文搜索 Google

搜索VBGood全站网页(全文搜索)

VB爱好者乐园(VBGood)

 找回密码
 立即注册
搜索
查看: 13612|回复: 17

各版本EProcess收集

[复制链接]
 楼主| 发表于 2009-10-26 18:24:24 | 显示全部楼层 |阅读模式
本帖最后由 xiaoly99 于 2009-10-26 18:50 编辑

Windows 2000     8楼
Windows 2000 Server     5楼
Windows XP x32      4楼
Windows Server 2003 x32     7楼
Windows Vista x32       9楼
Windows 7 x32     3楼

评分

参与人数 1人气 +1 收起 理由
sunfrank + 1 谢了

查看全部评分

发表于 2009-10-26 18:26:13 | 显示全部楼层
XP的好像都一样吧
我SP3中的EPROCESS完全可以用在Sp2中

很多上网搜得到的
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-10-26 18:32:41 | 显示全部楼层

  1. 0:001> dt _eprocess
  2. ntdll!_EPROCESS
  3. +0x000 Pcb : _KPROCESS
  4. +0x098 ProcessLock : _EX_PUSH_LOCK
  5. +0x0a0 CreateTime : _LARGE_INTEGER
  6. +0x0a8 ExitTime : _LARGE_INTEGER
  7. +0x0b0 RundownProtect : _EX_RUNDOWN_REF
  8. +0x0b4 UniqueProcessId : Ptr32 Void
  9. +0x0b8 ActiveProcessLinks : _LIST_ENTRY
  10. +0x0c0 ProcessQuotaUsage : [2] Uint4B
  11. +0x0c8 ProcessQuotaPeak : [2] Uint4B
  12. +0x0d0 CommitCharge : Uint4B
  13. +0x0d4 QuotaBlock : Ptr32 _EPROCESS_QUOTA_BLOCK
  14. +0x0d8 CpuQuotaBlock : Ptr32 _PS_CPU_QUOTA_BLOCK
  15. +0x0dc PeakVirtualSize : Uint4B
  16. +0x0e0 VirtualSize : Uint4B
  17. +0x0e4 SessionProcessLinks : _LIST_ENTRY
  18. +0x0ec DebugPort : Ptr32 Void
  19. +0x0f0 ExceptionPortData : Ptr32 Void
  20. +0x0f0 ExceptionPortValue : Uint4B
  21. +0x0f0 ExceptionPortState : Pos 0, 3 Bits
  22. +0x0f4 ObjectTable : Ptr32 _HANDLE_TABLE
  23. +0x0f8 Token : _EX_FAST_REF
  24. +0x0fc WorkingSetPage : Uint4B
  25. +0x100 AddressCreationLock : _EX_PUSH_LOCK
  26. +0x104 RotateInProgress : Ptr32 _ETHREAD
  27. +0x108 ForkInProgress : Ptr32 _ETHREAD
  28. +0x10c HardwareTrigger : Uint4B
  29. +0x110 PhysicalVadRoot : Ptr32 _MM_AVL_TABLE
  30. +0x114 CloneRoot : Ptr32 Void
  31. +0x118 NumberOfPrivatePages : Uint4B
  32. +0x11c NumberOfLockedPages : Uint4B
  33. +0x120 Win32Process : Ptr32 Void
  34. +0x124 Job : Ptr32 _EJOB
  35. +0x128 SectionObject : Ptr32 Void
  36. +0x12c SectionBaseAddress : Ptr32 Void
  37. +0x130 Cookie : Uint4B
  38. +0x134 Spare8 : Uint4B
  39. +0x138 WorkingSetWatch : Ptr32 _PAGEFAULT_HISTORY
  40. +0x13c Win32WindowStation : Ptr32 Void
  41. +0x140 InheritedFromUniqueProcessId : Ptr32 Void
  42. +0x144 LdtInformation : Ptr32 Void
  43. +0x148 VdmObjects : Ptr32 Void
  44. +0x14c ConsoleHostProcess : Uint4B
  45. +0x150 DeviceMap : Ptr32 Void
  46. +0x154 EtwDataSource : Ptr32 Void
  47. +0x158 FreeTebHint : Ptr32 Void
  48. +0x160 PageDirectoryPte : _HARDWARE_PTE_X86
  49. +0x160 Filler : Uint8B
  50. +0x168 Session : Ptr32 Void
  51. +0x16c ImageFileName : [15] UChar
  52. +0x17b PriorityClass : UChar
  53. +0x17c JobLinks : _LIST_ENTRY
  54. +0x184 LockedPagesList : Ptr32 Void
  55. +0x188 ThreadListHead : _LIST_ENTRY
  56. +0x190 SecurityPort : Ptr32 Void
  57. +0x194 PaeTop : Ptr32 Void
  58. +0x198 ActiveThreads : Uint4B
  59. +0x19c ImagePathHash : Uint4B
  60. +0x1a0 DefaultHardErrorProcessing : Uint4B
  61. +0x1a4 LastThreadExitStatus : Int4B
  62. +0x1a8 Peb : Ptr32 _PEB
  63. +0x1ac PrefetchTrace : _EX_FAST_REF
  64. +0x1b0 ReadOperationCount : _LARGE_INTEGER
  65. +0x1b8 WriteOperationCount : _LARGE_INTEGER
  66. +0x1c0 OtherOperationCount : _LARGE_INTEGER
  67. +0x1c8 ReadTransferCount : _LARGE_INTEGER
  68. +0x1d0 WriteTransferCount : _LARGE_INTEGER
  69. +0x1d8 OtherTransferCount : _LARGE_INTEGER
  70. +0x1e0 CommitChargeLimit : Uint4B
  71. +0x1e4 CommitChargePeak : Uint4B
  72. +0x1e8 AweInfo : Ptr32 Void
  73. +0x1ec SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
  74. +0x1f0 Vm : _MMSUPPORT
  75. +0x25c MmProcessLinks : _LIST_ENTRY
  76. +0x264 HighestUserAddress : Ptr32 Void
  77. +0x268 ModifiedPageCount : Uint4B
  78. +0x26c Flags2 : Uint4B
  79. +0x26c JobNotReallyActive : Pos 0, 1 Bit
  80. +0x26c AccountingFolded : Pos 1, 1 Bit
  81. +0x26c NewProcessReported : Pos 2, 1 Bit
  82. +0x26c ExitProcessReported : Pos 3, 1 Bit
  83. +0x26c ReportCommitChanges : Pos 4, 1 Bit
  84. +0x26c LastReportMemory : Pos 5, 1 Bit
  85. +0x26c ReportPhysicalPageChanges : Pos 6, 1 Bit
  86. +0x26c HandleTableRundown : Pos 7, 1 Bit
  87. +0x26c NeedsHandleRundown : Pos 8, 1 Bit
  88. +0x26c RefTraceEnabled : Pos 9, 1 Bit
  89. +0x26c NumaAware : Pos 10, 1 Bit
  90. +0x26c ProtectedProcess : Pos 11, 1 Bit
  91. +0x26c DefaultPagePriority : Pos 12, 3 Bits
  92. +0x26c PrimaryTokenFrozen : Pos 15, 1 Bit
  93. +0x26c ProcessVerifierTarget : Pos 16, 1 Bit
  94. +0x26c StackRandomizationDisabled : Pos 17, 1 Bit
  95. +0x26c AffinityPermanent : Pos 18, 1 Bit
  96. +0x26c AffinityUpdateEnable : Pos 19, 1 Bit
  97. +0x26c PropagateNode : Pos 20, 1 Bit
  98. +0x26c ExplicitAffinity : Pos 21, 1 Bit
  99. +0x270 Flags : Uint4B
  100. +0x270 CreateReported : Pos 0, 1 Bit
  101. +0x270 NoDebugInherit : Pos 1, 1 Bit
  102. +0x270 ProcessExiting : Pos 2, 1 Bit
  103. +0x270 ProcessDelete : Pos 3, 1 Bit
  104. +0x270 Wow64SplitPages : Pos 4, 1 Bit
  105. +0x270 VmDeleted : Pos 5, 1 Bit
  106. +0x270 OutswapEnabled : Pos 6, 1 Bit
  107. +0x270 Outswapped : Pos 7, 1 Bit
  108. +0x270 ForkFailed : Pos 8, 1 Bit
  109. +0x270 Wow64VaSpace4Gb : Pos 9, 1 Bit
  110. +0x270 AddressSpaceInitialized : Pos 10, 2 Bits
  111. +0x270 SetTimerResolution : Pos 12, 1 Bit
  112. +0x270 BreakOnTermination : Pos 13, 1 Bit
  113. +0x270 DeprioritizeViews : Pos 14, 1 Bit
  114. +0x270 WriteWatch : Pos 15, 1 Bit
  115. +0x270 ProcessInSession : Pos 16, 1 Bit
  116. +0x270 OverrideAddressSpace : Pos 17, 1 Bit
  117. +0x270 HasAddressSpace : Pos 18, 1 Bit
  118. +0x270 LaunchPrefetched : Pos 19, 1 Bit
  119. +0x270 InjectInpageErrors : Pos 20, 1 Bit
  120. +0x270 VmTopDown : Pos 21, 1 Bit
  121. +0x270 ImageNotifyDone : Pos 22, 1 Bit
  122. +0x270 PdeUpdateNeeded : Pos 23, 1 Bit
  123. +0x270 VdmAllowed : Pos 24, 1 Bit
  124. +0x270 CrossSessionCreate : Pos 25, 1 Bit
  125. +0x270 ProcessInserted : Pos 26, 1 Bit
  126. +0x270 DefaultIoPriority : Pos 27, 3 Bits
  127. +0x270 ProcessSelfDelete : Pos 30, 1 Bit
  128. +0x270 SetTimerResolutionLink : Pos 31, 1 Bit
  129. +0x274 ExitStatus : Int4B
  130. +0x278 VadRoot : _MM_AVL_TABLE
  131. +0x298 AlpcContext : _ALPC_PROCESS_CONTEXT
  132. +0x2a8 TimerResolutionLink : _LIST_ENTRY
  133. +0x2b0 RequestedTimerResolution : Uint4B
  134. +0x2b4 ActiveThreadsHighWatermark : Uint4B
  135. +0x2b8 SmallestTimerResolution : Uint4B
  136. +0x2bc TimerResolutionStackRecord : Ptr32 _PO_DIAG_STACK_RECORD
复制代码

转自灵之轨迹Windows7 RTM
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-10-26 18:35:16 | 显示全部楼层
本帖最后由 xiaoly99 于 2009-10-26 18:47 编辑
  1. +0x000 Pcb : _KPROCESS
  2. +0x000 Header : _DISPATCHER_HEADER
  3. +0x010 ProfileListHead : _LIST_ENTRY [ 0xffbcc030 - 0xffbcc030 ]
  4. +0x018 DirectoryTableBase : [2] 0x2807000
  5. +0x020 LdtDescriptor : _KGDTENTRY
  6. +0x028 Int21Descriptor : _KIDTENTRY
  7. +0x030 IopmOffset : 0x20ac
  8. +0x032 Iopl : 0 ''
  9. +0x033 Unused : 0 ''
  10. +0x034 ActiveProcessors : 0
  11. +0x038 KernelTime : 0xf
  12. +0x03c UserTime : 1
  13. +0x040 ReadyListHead : _LIST_ENTRY [ 0xffbcc060 - 0xffbcc060 ]
  14. +0x048 SwapListEntry : _SINGLE_LIST_ENTRY
  15. +0x04c VdmTrapcHandler : (null)
  16. +0x050 ThreadListHead : _LIST_ENTRY [ 0x80d946b8 - 0x80ee61d0 ]
  17. +0x058 ProcessLock : 0
  18. +0x05c Affinity : 1
  19. +0x060 StackCount : 2
  20. +0x062 BasePriority : 8 ''
  21. +0x063 ThreadQuantum : 6 ''
  22. +0x064 AutoAlignment : 0 ''
  23. +0x065 State : 0 ''
  24. +0x066 ThreadSeed : 0 ''
  25. +0x067 DisableBoost : 0 ''
  26. +0x068 PowerState : 0 ''
  27. +0x069 DisableQuantum : 0 ''
  28. +0x06a IdealNode : 0 ''
  29. +0x06b Flags : _KEXECUTE_OPTIONS
  30. +0x06b ExecuteOptions : 0x32 '2'
  31. +0x06c ProcessLock : _EX_PUSH_LOCK
  32. +0x000 Waiting : 0y0
  33. +0x000 Exclusive : 0y0
  34. +0x000 Shared : 0y000000000000000000000000000000 (0)
  35. +0x000 Value : 0
  36. +0x000 Ptr : (null)
  37. +0x070 CreateTime : _LARGE_INTEGER 0x1c8afe7`be99a666
  38. +0x000 LowPart : 0xbe99a666
  39. +0x004 HighPart : 29929447
  40. +0x000 u : __unnamed
  41. +0x000 QuadPart : 128545999250105958
  42. +0x078 ExitTime : _LARGE_INTEGER 0x0
  43. +0x000 LowPart : 0
  44. +0x004 HighPart : 0
  45. +0x000 u : __unnamed
  46. +0x000 QuadPart : 0
  47. +0x080 RundownProtect : _EX_RUNDOWN_REF
  48. +0x000 Count : 0
  49. +0x000 Ptr : (null)
  50. +0x084 UniqueProcessId : 0x000007ac
  51. +0x088 ActiveProcessLinks : _LIST_ENTRY [ 0x805616d8 - 0x80ee6840 ]
  52. +0x000 Flink : 0x805616d8 _LIST_ENTRY [ 0x80ede0a8 - 0xffbcc0a8 ]
  53. +0x004 Blink : 0x80ee6840 _LIST_ENTRY [ 0xffbcc0a8 - 0x80d7bcb8 ]
  54. +0x090 QuotaUsage : [3] 0xb18
  55. +0x09c QuotaPeak : [3] 0xbb8
  56. +0x0a8 CommitCharge : 0x1a8
  57. +0x0ac PeakVirtualSize : 0x203e000
  58. +0x0b0 VirtualSize : 0x1e71000
  59. +0x0b4 SessionProcessLinks : _LIST_ENTRY [ 0xfb087014 - 0x80ee686c ]
  60. +0x000 Flink : 0xfb087014 _LIST_ENTRY [ 0x80eade54 - 0xffbcc0d4 ]
  61. +0x004 Blink : 0x80ee686c _LIST_ENTRY [ 0xffbcc0d4 - 0x80d7bce4 ]
  62. +0x0bc DebugPort : (null)
  63. +0x0c0 ExceptionPort : 0xe13c96b8
  64. +0x0c4 ObjectTable : 0xe1cd4958 _HANDLE_TABLE
  65. +0x000 TableCode : 0xe1060000
  66. +0x004 QuotaProcess : 0xffbcc020 _EPROCESS
  67. +0x008 UniqueProcessId : 0x000007ac
  68. +0x00c HandleTableLock : [4] _EX_PUSH_LOCK
  69. +0x01c HandleTableList : _LIST_ENTRY [ 0x805629c8 - 0xe1640594 ]
  70. +0x024 HandleContentionEvent : _EX_PUSH_LOCK
  71. +0x028 DebugInfo : (null)
  72. +0x02c ExtraInfoPages : 0
  73. +0x030 FirstFree : 0x11c
  74. +0x034 LastFree : 0
  75. +0x038 NextHandleNeedingPool : 0x800
  76. +0x03c HandleCount : 70
  77. +0x040 Flags : 0
  78. +0x040 StrictFIFO : 0y0
  79. +0x0c8 Token : _EX_FAST_REF
  80. +0x000 Object : 0xe10772a3
  81. +0x000 RefCnt : 0y011
  82. +0x000 Value : 0xe10772a3
  83. +0x0cc WorkingSetLock : _FAST_MUTEX
  84. +0x000 Count : 1
  85. +0x004 Owner : 0xfacfa608 _KTHREAD
  86. +0x008 Contention : 0
  87. +0x00c Event : _KEVENT
  88. +0x01c OldIrql : 0
  89. +0x0ec WorkingSetPage : 0x1e0a
  90. +0x0f0 AddressCreationLock : _FAST_MUTEX
  91. +0x000 Count : 1
  92. +0x004 Owner : 0xfacfacf4 _KTHREAD
  93. +0x008 Contention : 0
  94. +0x00c Event : _KEVENT
  95. +0x01c OldIrql : 0
  96. +0x110 HyperSpaceLock : 0
  97. +0x114 ForkInProgress : (null)
  98. +0x118 HardwareTrigger : 0
  99. +0x11c VadRoot : 0x80e2d1f0
  100. +0x120 VadHint : 0xffb6f870
  101. +0x124 CloneRoot : (null)
  102. +0x128 NumberOfPrivatePages : 0xd8
  103. +0x12c NumberOfLockedPages : 0
  104. +0x130 Win32Process : 0xe1062680
  105. +0x134 Job : (null)
  106. +0x138 SectionObject : 0xe1cfe480
  107. +0x13c SectionBaseAddress : 0x00400000
  108. +0x140 QuotaBlock : 0xffbcc498 _EPROCESS_QUOTA_BLOCK
  109. +0x000 QuotaEntry : [3] _EPROCESS_QUOTA_ENTRY
  110. +0x030 QuotaList : _LIST_ENTRY [ 0xffb46518 - 0x80d4fda8 ]
  111. +0x038 ReferenceCount : 0x25a
  112. +0x03c ProcessCount : 6
  113. +0x144 WorkingSetWatch : (null)
  114. +0x148 Win32WindowStation : 0x00000034
  115. +0x14c InheritedFromUniqueProcessId : 0x00000670
  116. +0x150 LdtInformation : (null)
  117. +0x154 VadFreeHint : (null)
  118. +0x158 VdmObjects : (null)
  119. +0x15c DeviceMap : 0xe18ed570
  120. +0x160 PhysicalVadList : _LIST_ENTRY [ 0xffb66348 - 0xffb66348 ]
  121. +0x000 Flink : 0xffb66348 _LIST_ENTRY [ 0xffbcc180 - 0xffbcc180 ]
  122. +0x004 Blink : 0xffb66348 _LIST_ENTRY [ 0xffbcc180 - 0xffbcc180 ]
  123. +0x168 PageDirectoryPte : _HARDWARE_PTE
  124. +0x000 Valid : 0y0
  125. +0x000 Write : 0y0
  126. +0x000 Owner : 0y0
  127. +0x000 WriteThrough : 0y0
  128. +0x000 CacheDisable : 0y0
  129. +0x000 Accessed : 0y0
  130. +0x000 Dirty : 0y0
  131. +0x000 LargePage : 0y0
  132. +0x000 Global : 0y0
  133. +0x000 CopyOnWrite : 0y0
  134. +0x000 Prototype : 0y0
  135. +0x000 reserved : 0y0
  136. +0x000 PageFrameNumber : 0y00000000000000000000 (0)
  137. +0x168 Filler : 0
  138. +0x170 Session : 0xfb087000
  139. +0x174 ImageFileName : [16] "Dbgview.exe"
  140. +0x184 JobLinks : _LIST_ENTRY [ 0x0 - 0x0 ]
  141. +0x000 Flink : (null)
  142. +0x004 Blink : (null)
  143. +0x18c LockedPagesList : (null)
  144. +0x190 ThreadListHead : _LIST_ENTRY [ 0x80d94734 - 0x80ee624c ]
  145. +0x000 Flink : 0x80d94734 _LIST_ENTRY [ 0x80ee624c - 0xffbcc1b0 ]
  146. +0x004 Blink : 0x80ee624c _LIST_ENTRY [ 0xffbcc1b0 - 0x80d94734 ]
  147. +0x198 SecurityPort : (null)
  148. +0x19c PaeTop : (null)
  149. +0x1a0 ActiveThreads : 2
  150. +0x1a4 GrantedAccess : 0x1f0fff
  151. +0x1a8 DefaultHardErrorProcessing : 1
  152. +0x1ac LastThreadExitStatus : 0
  153. +0x1b0 Peb : 0x7ffde000 _PEB
  154. +0x000 InheritedAddressSpace : 0xdc ''
  155. +0x001 ReadImageFileExecOptions : 0xff ''
  156. +0x002 BeingDebugged : 0xa8 ''
  157. +0x003 SpareBool : 0 ''
  158. +0x004 Mutant : 0x00a90000
  159. +0x008 ImageBaseAddress : 0x00a8e000
  160. +0x00c Ldr : (null)
  161. +0x010 ProcessParameters : 0x00001e00 _RTL_USER_PROCESS_PARAMETERS
  162. +0x014 SubSystemData : (null)
  163. +0x018 ProcessHeap : 0x7ffde000
  164. +0x01c FastPebLock : (null)
  165. +0x020 FastPebLockRoutine : 0x0000073c
  166. +0x024 FastPebUnlockRoutine : 0x00000760
  167. +0x028 EnvironmentUpdateCount : 0
  168. +0x02c KernelCallbackTable : (null)
  169. +0x030 SystemReserved : [1] 0x7ffdd000
  170. +0x034 AtlThunkSListPtr32 : 0
  171. +0x038 FreeList : (null)
  172. +0x03c TlsExpansionCounter : 0
  173. +0x040 TlsBitmap : 0xe11a1008
  174. +0x044 TlsBitmapBits : [2] 0
  175. +0x04c ReadOnlySharedMemoryBase : (null)
  176. +0x050 ReadOnlySharedMemoryHeap : (null)
  177. +0x054 ReadOnlyStaticServerData : (null)
  178. +0x058 AnsiCodePageData : (null)
  179. +0x05c OemCodePageData : (null)
  180. +0x060 UnicodeCaseTableData : (null)
  181. +0x064 NumberOfProcessors : 0
  182. +0x068 NtGlobalFlag : 0
  183. +0x070 CriticalSectionTimeout : _LARGE_INTEGER 0x0
  184. +0x078 HeapSegmentReserve : 0
  185. +0x07c HeapSegmentCommit : 0
  186. +0x080 HeapDeCommitTotalFreeThreshold : 0
  187. +0x084 HeapDeCommitFreeBlockThreshold : 0
  188. +0x088 NumberOfHeaps : 0
  189. +0x08c MaximumNumberOfHeaps : 0
  190. +0x090 ProcessHeaps : (null)
  191. +0x094 GdiSharedHandleTable : (null)
  192. +0x098 ProcessStarterHelper : (null)
  193. +0x09c GdiDCAttributeList : 0
  194. +0x0a0 LoaderLock : (null)
  195. +0x0a4 OSMajorVersion : 0
  196. +0x0a8 OSMinorVersion : 0
  197. +0x0ac OSBuildNumber : 0
  198. +0x0ae OSCSDVersion : 0
  199. +0x0b0 OSPlatformId : 0
  200. +0x0b4 ImageSubsystem : 0
  201. +0x0b8 ImageSubsystemMajorVersion : 0
  202. +0x0bc ImageSubsystemMinorVersion : 0
  203. +0x0c0 ImageProcessAffinityMask : 0
  204. +0x0c4 GdiHandleBuffer : [34] 0x804
  205. +0x14c PostProcessInitRoutine : (null)
  206. +0x150 TlsExpansionBitmap : (null)
  207. +0x154 TlsExpansionBitmapBits : [32] 0
  208. +0x1d4 SessionId : 0
  209. +0x1d8 AppCompatFlags : _ULARGE_INTEGER 0x0
  210. +0x1e0 AppCompatFlagsUser : _ULARGE_INTEGER 0x0
  211. +0x1e8 pShimData : (null)
  212. +0x1ec AppCompatInfo : (null)
  213. +0x1f0 CSDVersion : _UNICODE_STRING ""
  214. +0x1f8 ActivationContextData : (null)
  215. +0x1fc ProcessAssemblyStorageMap : (null)
  216. +0x200 SystemDefaultActivationContextData : (null)
  217. +0x204 SystemAssemblyStorageMap : (null)
  218. +0x208 MinimumStackCommit : 0
  219. +0x1b4 PrefetchTrace : _EX_FAST_REF
  220. +0x000 Object : (null)
  221. +0x000 RefCnt : 0y000
  222. +0x000 Value : 0
  223. +0x1b8 ReadOperationCount : _LARGE_INTEGER 0x4
  224. +0x000 LowPart : 4
  225. +0x004 HighPart : 0
  226. +0x000 u : __unnamed
  227. +0x000 QuadPart : 4
  228. +0x1c0 WriteOperationCount : _LARGE_INTEGER 0x5
  229. +0x000 LowPart : 5
  230. +0x004 HighPart : 0
  231. +0x000 u : __unnamed
  232. +0x000 QuadPart : 5
  233. +0x1c8 OtherOperationCount : _LARGE_INTEGER 0x1a0
  234. +0x000 LowPart : 0x1a0
  235. +0x004 HighPart : 0
  236. +0x000 u : __unnamed
  237. +0x000 QuadPart : 416
  238. +0x1d0 ReadTransferCount : _LARGE_INTEGER 0x4f12
  239. +0x000 LowPart : 0x4f12
  240. +0x004 HighPart : 0
  241. +0x000 u : __unnamed
  242. +0x000 QuadPart : 20242
  243. +0x1d8 WriteTransferCount : _LARGE_INTEGER 0x34d8
  244. +0x000 LowPart : 0x34d8
  245. +0x004 HighPart : 0
  246. +0x000 u : __unnamed
  247. +0x000 QuadPart : 13528
  248. +0x1e0 OtherTransferCount : _LARGE_INTEGER 0x18420
  249. +0x000 LowPart : 0x18420
  250. +0x004 HighPart : 0
  251. +0x000 u : __unnamed
  252. +0x000 QuadPart : 99360
  253. +0x1e8 CommitChargeLimit : 0
  254. +0x1ec CommitChargePeak : 0x1a8
  255. +0x1f0 AweInfo : (null)
  256. +0x1f4 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
  257. +0x000 ImageFileName : 0x80d4b810 _OBJECT_NAME_INFORMATION
  258. +0x1f8 Vm : _MMSUPPORT
  259. +0x000 LastTrimTime : _LARGE_INTEGER 0x1c8afe7`be97440c
  260. +0x008 Flags : _MMSUPPORT_FLAGS
  261. +0x00c PageFaultCount : 0x435
  262. +0x010 PeakWorkingSetSize : 0x3fb
  263. +0x014 WorkingSetSize : 0x3fb
  264. +0x018 MinimumWorkingSetSize : 0x32
  265. +0x01c MaximumWorkingSetSize : 0x159
  266. +0x020 VmWorkingSetList : 0xc0503000 _MMWSL
  267. +0x024 WorkingSetExpansionLinks : _LIST_ENTRY [ 0x8055fc50 - 0x80ee69d4 ]
  268. +0x02c Claim : 8
  269. +0x030 NextEstimationSlot : 0x169
  270. +0x034 NextAgingSlot : 0x14
  271. +0x038 EstimatedAvailable : 8
  272. +0x03c GrowthSinceLastEstimate : 0
  273. +0x238 LastFaultCount : 0
  274. +0x23c ModifiedPageCount : 7
  275. +0x240 NumberOfVads : 0x45
  276. +0x244 JobStatus : 0
  277. +0x248 Flags : 0xd0a00
  278. +0x248 CreateReported : 0y0
  279. +0x248 NoDebugInherit : 0y0
  280. +0x248 ProcessExiting : 0y0
  281. +0x248 ProcessDelete : 0y0
  282. +0x248 Wow64SplitPages : 0y0
  283. +0x248 VmDeleted : 0y0
  284. +0x248 OutswapEnabled : 0y0
  285. +0x248 Outswapped : 0y0
  286. +0x248 ForkFailed : 0y0
  287. +0x248 HasPhysicalVad : 0y1
  288. +0x248 AddressSpaceInitialized : 0y10
  289. +0x248 SetTimerResolution : 0y0
  290. +0x248 BreakOnTermination : 0y0
  291. +0x248 SessionCreationUnderway : 0y0
  292. +0x248 WriteWatch : 0y0
  293. +0x248 ProcessInSession : 0y1
  294. +0x248 OverrideAddressSpace : 0y0
  295. +0x248 HasAddressSpace : 0y1
  296. +0x248 LaunchPrefetched : 0y1
  297. +0x248 InjectInpageErrors : 0y0
  298. +0x248 VmTopDown : 0y0
  299. +0x248 Unused3 : 0y0
  300. +0x248 Unused4 : 0y0
  301. +0x248 VdmAllowed : 0y0
  302. +0x248 Unused : 0y00000 (0)
  303. +0x248 Unused1 : 0y0
  304. +0x248 Unused2 : 0y0
  305. +0x24c ExitStatus : 259
  306. +0x250 NextPageColor : 0x79e0
  307. +0x252 SubSystemMinorVersion : 0 ''
  308. +0x253 SubSystemMajorVersion : 0x4 ''
  309. +0x252 SubSystemVersion : 0x400
  310. +0x254 PriorityClass : 0x2 ''
  311. +0x255 WorkingSetAcquiredUnsafe : 0 ''
  312. +0x258 Cookie : 0xbf681b82
复制代码
Windows XP
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-10-26 18:39:06 | 显示全部楼层
  1. +0x000 Pcb : _KPROCESS
  2. +0x000 Header : _DISPATCHER_HEADER
  3. +0x010 ProfileListHead : _LIST_ENTRY
  4. +0x018 DirectoryTableBase : [2] Uint4B
  5. +0x020 LdtDescriptor : _KGDTENTRY
  6. +0x028 Int21Descriptor : _KIDTENTRY
  7. +0x030 IopmOffset : Uint2B
  8. +0x032 Iopl : UChar
  9. +0x033 VdmFlag : UChar
  10. +0x034 ActiveProcessors : Uint4B
  11. +0x038 KernelTime : Uint4B
  12. +0x03c UserTime : Uint4B
  13. +0x040 ReadyListHead : _LIST_ENTRY
  14. +0x048 SwapListEntry : _LIST_ENTRY
  15. +0x050 ThreadListHead : _LIST_ENTRY
  16. +0x058 ProcessLock : Uint4B
  17. +0x05c Affinity : Uint4B
  18. +0x060 StackCount : Uint2B
  19. +0x062 BasePriority : Char
  20. +0x063 ThreadQuantum : Char
  21. +0x064 AutoAlignment : UChar
  22. +0x065 State : UChar
  23. +0x066 ThreadSeed : UChar
  24. +0x067 DisableBoost : UChar
  25. +0x068 PowerState : UChar
  26. +0x069 DisableQuantum : UChar
  27. +0x06a Spare : [2] UChar
  28. +0x06c ExitStatus : Int4B
  29. +0x070 LockEvent : _KEVENT
  30. +0x000 Header : _DISPATCHER_HEADER
  31. +0x080 LockCount : Uint4B
  32. +0x088 CreateTime : _LARGE_INTEGER
  33. +0x000 LowPart : Uint4B
  34. +0x004 HighPart : Int4B
  35. +0x000 u : __unnamed
  36. +0x000 QuadPart : Int8B
  37. +0x090 ExitTime : _LARGE_INTEGER
  38. +0x000 LowPart : Uint4B
  39. +0x004 HighPart : Int4B
  40. +0x000 u : __unnamed
  41. +0x000 QuadPart : Int8B
  42. +0x098 LockOwner : Ptr32 _KTHREAD
  43. +0x09c UniqueProcessId : Ptr32 Void
  44. +0x0a0 ActiveProcessLinks : _LIST_ENTRY
  45. +0x000 Flink : Ptr32 _LIST_ENTRY
  46. +0x004 Blink : Ptr32 _LIST_ENTRY
  47. +0x0a8 QuotaPeakPoolUsage : [2] Uint4B
  48. +0x0b0 QuotaPoolUsage : [2] Uint4B
  49. +0x0b8 PagefileUsage : Uint4B
  50. +0x0bc CommitCharge : Uint4B
  51. +0x0c0 PeakPagefileUsage : Uint4B
  52. +0x0c4 PeakVirtualSize : Uint4B
  53. +0x0c8 VirtualSize : Uint4B
  54. +0x0d0 Vm : _MMSUPPORT
  55. +0x000 LastTrimTime : _LARGE_INTEGER
  56. +0x008 LastTrimFaultCount : Uint4B
  57. +0x00c PageFaultCount : Uint4B
  58. +0x010 PeakWorkingSetSize : Uint4B
  59. +0x014 WorkingSetSize : Uint4B
  60. +0x018 MinimumWorkingSetSize : Uint4B
  61. +0x01c MaximumWorkingSetSize : Uint4B
  62. +0x020 VmWorkingSetList : Ptr32 _MMWSL
  63. +0x024 WorkingSetExpansionLinks : _LIST_ENTRY
  64. +0x02c AllowWorkingSetAdjustment : UChar
  65. +0x02d AddressSpaceBeingDeleted : UChar
  66. +0x02e ForegroundSwitchCount : UChar
  67. +0x02f MemoryPriority : UChar
  68. +0x030 u : __unnamed
  69. +0x034 Claim : Uint4B
  70. +0x038 NextEstimationSlot : Uint4B
  71. +0x03c NextAgingSlot : Uint4B
  72. +0x040 EstimatedAvailable : Uint4B
  73. +0x044 GrowthSinceLastEstimate : Uint4B
  74. +0x118 SessionProcessLinks : _LIST_ENTRY
  75. +0x000 Flink : Ptr32 _LIST_ENTRY
  76. +0x004 Blink : Ptr32 _LIST_ENTRY
  77. +0x120 DebugPort : Ptr32 Void
  78. +0x124 ExceptionPort : Ptr32 Void
  79. +0x128 ObjectTable : Ptr32 _HANDLE_TABLE
  80. +0x000 Flags : Uint4B
  81. +0x004 HandleCount : Int4B
  82. +0x008 Table : Ptr32 Ptr32 Ptr32 _HANDLE_TABLE_ENTRY
  83. +0x00c QuotaProcess : Ptr32 _EPROCESS
  84. +0x010 UniqueProcessId : Ptr32 Void
  85. +0x014 FirstFreeTableEntry : Int4B
  86. +0x018 NextIndexNeedingPool : Int4B
  87. +0x01c HandleTableLock : _ERESOURCE
  88. +0x054 HandleTableList : _LIST_ENTRY
  89. +0x05c HandleContentionEvent : _KEVENT
  90. +0x12c Token : Ptr32 Void
  91. +0x130 WorkingSetLock : _FAST_MUTEX
  92. +0x000 Count : Int4B
  93. +0x004 Owner : Ptr32 _KTHREAD
  94. +0x008 Contention : Uint4B
  95. +0x00c Event : _KEVENT
  96. +0x01c OldIrql : Uint4B
  97. +0x150 WorkingSetPage : Uint4B
  98. +0x154 ProcessOutswapEnabled : UChar
  99. +0x155 ProcessOutswapped : UChar
  100. +0x156 AddressSpaceInitialized : UChar
  101. +0x157 AddressSpaceDeleted : UChar
  102. +0x158 AddressCreationLock : _FAST_MUTEX
  103. +0x000 Count : Int4B
  104. +0x004 Owner : Ptr32 _KTHREAD
  105. +0x008 Contention : Uint4B
  106. +0x00c Event : _KEVENT
  107. +0x01c OldIrql : Uint4B
  108. +0x178 HyperSpaceLock : Uint4B
  109. +0x17c ForkInProgress : Ptr32 _ETHREAD
  110. +0x180 VmOperation : Uint2B
  111. +0x182 ForkWasSuccessful : UChar
  112. +0x183 MmAgressiveWsTrimMask : UChar
  113. +0x184 VmOperationEvent : Ptr32 _KEVENT
  114. +0x000 Header : _DISPATCHER_HEADER
  115. +0x188 PaeTop : Ptr32 Void
  116. +0x18c LastFaultCount : Uint4B
  117. +0x190 ModifiedPageCount : Uint4B
  118. +0x194 VadRoot : Ptr32 Void
  119. +0x198 VadHint : Ptr32 Void
  120. +0x19c CloneRoot : Ptr32 Void
  121. +0x1a0 NumberOfPrivatePages : Uint4B
  122. +0x1a4 NumberOfLockedPages : Uint4B
  123. +0x1a8 NextPageColor : Uint2B
  124. +0x1aa ExitProcessCalled : UChar
  125. +0x1ab CreateProcessReported : UChar
  126. +0x1ac SectionHandle : Ptr32 Void
  127. +0x1b0 Peb : Ptr32 _PEB
  128. +0x000 InheritedAddressSpace : UChar
  129. +0x001 ReadImageFileExecOptions : UChar
  130. +0x002 BeingDebugged : UChar
  131. +0x003 SpareBool : UChar
  132. +0x004 Mutant : Ptr32 Void
  133. +0x008 ImageBaseAddress : Ptr32 Void
  134. +0x00c Ldr : Ptr32 _PEB_LDR_DATA
  135. +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS
  136. +0x014 SubSystemData : Ptr32 Void
  137. +0x018 ProcessHeap : Ptr32 Void
  138. +0x01c FastPebLock : Ptr32 Void
  139. +0x020 FastPebLockRoutine : Ptr32 Void
  140. +0x024 FastPebUnlockRoutine : Ptr32 Void
  141. +0x028 EnvironmentUpdateCount : Uint4B
  142. +0x02c KernelCallbackTable : Ptr32 Void
  143. +0x030 SystemReserved : [2] Uint4B
  144. +0x038 FreeList : Ptr32 _PEB_FREE_BLOCK
  145. +0x03c TlsExpansionCounter : Uint4B
  146. +0x040 TlsBitmap : Ptr32 Void
  147. +0x044 TlsBitmapBits : [2] Uint4B
  148. +0x04c ReadOnlySharedMemoryBase : Ptr32 Void
  149. +0x050 ReadOnlySharedMemoryHeap : Ptr32 Void
  150. +0x054 ReadOnlyStaticServerData : Ptr32 Ptr32 Void
  151. +0x058 AnsiCodePageData : Ptr32 Void
  152. +0x05c OemCodePageData : Ptr32 Void
  153. +0x060 UnicodeCaseTableData : Ptr32 Void
  154. +0x064 NumberOfProcessors : Uint4B
  155. +0x068 NtGlobalFlag : Uint4B
  156. +0x070 CriticalSectionTimeout : _LARGE_INTEGER
  157. +0x078 HeapSegmentReserve : Uint4B
  158. +0x07c HeapSegmentCommit : Uint4B
  159. +0x080 HeapDeCommitTotalFreeThreshold : Uint4B
  160. +0x084 HeapDeCommitFreeBlockThreshold : Uint4B
  161. +0x088 NumberOfHeaps : Uint4B
  162. +0x08c MaximumNumberOfHeaps : Uint4B
  163. +0x090 ProcessHeaps : Ptr32 Ptr32 Void
  164. +0x094 GdiSharedHandleTable : Ptr32 Void
  165. +0x098 ProcessStarterHelper : Ptr32 Void
  166. +0x09c GdiDCAttributeList : Uint4B
  167. +0x0a0 LoaderLock : Ptr32 Void
  168. +0x0a4 OSMajorVersion : Uint4B
  169. +0x0a8 OSMinorVersion : Uint4B
  170. +0x0ac OSBuildNumber : Uint2B
  171. +0x0ae OSCSDVersion : Uint2B
  172. +0x0b0 OSPlatformId : Uint4B
  173. +0x0b4 ImageSubsystem : Uint4B
  174. +0x0b8 ImageSubsystemMajorVersion : Uint4B
  175. +0x0bc ImageSubsystemMinorVersion : Uint4B
  176. +0x0c0 ImageProcessAffinityMask : Uint4B
  177. +0x0c4 GdiHandleBuffer : [34] Uint4B
  178. +0x14c PostProcessInitRoutine : Ptr32
  179. +0x150 TlsExpansionBitmap : Ptr32 Void
  180. +0x154 TlsExpansionBitmapBits : [32] Uint4B
  181. +0x1d4 SessionId : Uint4B
  182. +0x1d8 AppCompatInfo : Ptr32 Void
  183. +0x1dc CSDVersion : _UNICODE_STRING
  184. +0x1b4 SectionBaseAddress : Ptr32 Void
  185. +0x1b8 QuotaBlock : Ptr32 _EPROCESS_QUOTA_BLOCK
  186. +0x000 QuotaLock : Uint4B
  187. +0x004 ReferenceCount : Uint4B
  188. +0x008 QuotaPeakPoolUsage : [2] Uint4B
  189. +0x010 QuotaPoolUsage : [2] Uint4B
  190. +0x018 QuotaPoolLimit : [2] Uint4B
  191. +0x020 PeakPagefileUsage : Uint4B
  192. +0x024 PagefileUsage : Uint4B
  193. +0x028 PagefileLimit : Uint4B
  194. +0x1bc LastThreadExitStatus : Int4B
  195. +0x1c0 WorkingSetWatch : Ptr32 _PAGEFAULT_HISTORY
  196. +0x000 CurrentIndex : Uint4B
  197. +0x004 MaxIndex : Uint4B
  198. +0x008 SpinLock : Uint4B
  199. +0x00c Reserved : Ptr32 Void
  200. +0x010 WatchInfo : [1] _PROCESS_WS_WATCH_INFORMATION
  201. +0x1c4 Win32WindowStation : Ptr32 Void
  202. +0x1c8 InheritedFromUniqueProcessId : Ptr32 Void
  203. +0x1cc GrantedAccess : Uint4B
  204. +0x1d0 DefaultHardErrorProcessing : Uint4B
  205. +0x1d4 LdtInformation : Ptr32 Void
  206. +0x1d8 VadFreeHint : Ptr32 Void
  207. +0x1dc VdmObjects : Ptr32 Void
  208. +0x1e0 DeviceMap : Ptr32 Void
  209. +0x1e4 SessionId : Uint4B
  210. +0x1e8 PhysicalVadList : _LIST_ENTRY
  211. +0x000 Flink : Ptr32 _LIST_ENTRY
  212. +0x004 Blink : Ptr32 _LIST_ENTRY
  213. +0x1f0 PageDirectoryPte : _HARDWARE_PTE_X86
  214. +0x000 Valid : Pos 0, 1 Bit
  215. +0x000 Write : Pos 1, 1 Bit
  216. +0x000 Owner : Pos 2, 1 Bit
  217. +0x000 WriteThrough : Pos 3, 1 Bit
  218. +0x000 CacheDisable : Pos 4, 1 Bit
  219. +0x000 Accessed : Pos 5, 1 Bit
  220. +0x000 Dirty : Pos 6, 1 Bit
  221. +0x000 LargePage : Pos 7, 1 Bit
  222. +0x000 Global : Pos 8, 1 Bit
  223. +0x000 CopyOnWrite : Pos 9, 1 Bit
  224. +0x000 Prototype : Pos 10, 1 Bit
  225. +0x000 reserved : Pos 11, 1 Bit
  226. +0x000 PageFrameNumber : Pos 12, 20 Bits
  227. +0x1f0 Filler : Uint8B
  228. +0x1f8 PaePageDirectoryPage : Uint4B
  229. +0x1fc ImageFileName : [16] UChar
  230. +0x20c VmTrimFaultValue : Uint4B
  231. +0x210 SetTimerResolution : UChar
  232. +0x211 PriorityClass : UChar
  233. +0x212 SubSystemMinorVersion : UChar
  234. +0x213 SubSystemMajorVersion : UChar
  235. +0x212 SubSystemVersion : Uint2B
  236. +0x214 Win32Process : Ptr32 Void
  237. +0x218 Job : Ptr32 _EJOB
  238. +0x000 Event : _KEVENT
  239. +0x010 JobLinks : _LIST_ENTRY
  240. +0x018 ProcessListHead : _LIST_ENTRY
  241. +0x020 JobLock : _ERESOURCE
  242. +0x058 TotalUserTime : _LARGE_INTEGER
  243. +0x060 TotalKernelTime : _LARGE_INTEGER
  244. +0x068 ThisPeriodTotalUserTime : _LARGE_INTEGER
  245. +0x070 ThisPeriodTotalKernelTime : _LARGE_INTEGER
  246. +0x078 TotalPageFaultCount : Uint4B
  247. +0x07c TotalProcesses : Uint4B
  248. +0x080 ActiveProcesses : Uint4B
  249. +0x084 TotalTerminatedProcesses : Uint4B
  250. +0x088 PerProcessUserTimeLimit : _LARGE_INTEGER
  251. +0x090 PerJobUserTimeLimit : _LARGE_INTEGER
  252. +0x098 LimitFlags : Uint4B
  253. +0x09c MinimumWorkingSetSize : Uint4B
  254. +0x0a0 MaximumWorkingSetSize : Uint4B
  255. +0x0a4 ActiveProcessLimit : Uint4B
  256. +0x0a8 Affinity : Uint4B
  257. +0x0ac PriorityClass : UChar
  258. +0x0b0 UIRestrictionsClass : Uint4B
  259. +0x0b4 SecurityLimitFlags : Uint4B
  260. +0x0b8 Token : Ptr32 Void
  261. +0x0bc Filter : Ptr32 _PS_JOB_TOKEN_FILTER
  262. +0x0c0 EndOfJobTimeAction : Uint4B
  263. +0x0c4 CompletionPort : Ptr32 Void
  264. +0x0c8 CompletionKey : Ptr32 Void
  265. +0x0cc SessionId : Uint4B
  266. +0x0d0 SchedulingClass : Uint4B
  267. +0x0d8 ReadOperationCount : Uint8B
  268. +0x0e0 WriteOperationCount : Uint8B
  269. +0x0e8 OtherOperationCount : Uint8B
  270. +0x0f0 ReadTransferCount : Uint8B
  271. +0x0f8 WriteTransferCount : Uint8B
  272. +0x100 OtherTransferCount : Uint8B
  273. +0x108 IoInfo : _IO_COUNTERS
  274. +0x138 ProcessMemoryLimit : Uint4B
  275. +0x13c JobMemoryLimit : Uint4B
  276. +0x140 PeakProcessMemoryUsed : Uint4B
  277. +0x144 PeakJobMemoryUsed : Uint4B
  278. +0x148 CurrentJobMemoryUsed : Uint4B
  279. +0x14c MemoryLimitsLock : _FAST_MUTEX
  280. +0x21c JobStatus : Uint4B
  281. +0x220 JobLinks : _LIST_ENTRY
  282. +0x000 Flink : Ptr32 _LIST_ENTRY
  283. +0x004 Blink : Ptr32 _LIST_ENTRY
  284. +0x228 LockedPagesList : Ptr32 Void
  285. +0x22c SecurityPort : Ptr32 Void
  286. +0x230 Wow64Process : Ptr32 _WOW64_PROCESS
  287. +0x000 Wow64 : Ptr32 Void
  288. +0x238 ReadOperationCount : _LARGE_INTEGER
  289. +0x000 LowPart : Uint4B
  290. +0x004 HighPart : Int4B
  291. +0x000 u : __unnamed
  292. +0x000 QuadPart : Int8B
  293. +0x240 WriteOperationCount : _LARGE_INTEGER
  294. +0x000 LowPart : Uint4B
  295. +0x004 HighPart : Int4B
  296. +0x000 u : __unnamed
  297. +0x000 QuadPart : Int8B
  298. +0x248 OtherOperationCount : _LARGE_INTEGER
  299. +0x000 LowPart : Uint4B
  300. +0x004 HighPart : Int4B
  301. +0x000 u : __unnamed
  302. +0x000 QuadPart : Int8B
  303. +0x250 ReadTransferCount : _LARGE_INTEGER
  304. +0x000 LowPart : Uint4B
  305. +0x004 HighPart : Int4B
  306. +0x000 u : __unnamed
  307. +0x000 QuadPart : Int8B
  308. +0x258 WriteTransferCount : _LARGE_INTEGER
  309. +0x000 LowPart : Uint4B
  310. +0x004 HighPart : Int4B
  311. +0x000 u : __unnamed
  312. +0x000 QuadPart : Int8B
  313. +0x260 OtherTransferCount : _LARGE_INTEGER
  314. +0x000 LowPart : Uint4B
  315. +0x004 HighPart : Int4B
  316. +0x000 u : __unnamed
  317. +0x000 QuadPart : Int8B
  318. +0x268 CommitChargeLimit : Uint4B
  319. +0x26c CommitChargePeak : Uint4B
  320. +0x270 ThreadListHead : _LIST_ENTRY
  321. +0x000 Flink : Ptr32 _LIST_ENTRY
  322. +0x004 Blink : Ptr32 _LIST_ENTRY
  323. +0x278 VadPhysicalPagesBitMap : Ptr32 _RTL_BITMAP
  324. +0x000 SizeOfBitMap : Uint4B
  325. +0x004 Buffer : Ptr32 Uint4B
  326. +0x27c VadPhysicalPages : Uint4B
  327. +0x280 AweLock : Uint4B
  328. +0x284 pImageFileName : Ptr32 _UNICODE_STRING
  329. +0x000 Length : Uint2B
  330. +0x002 MaximumLength : Uint2B
  331. +0x004 Buffer : Ptr32 Uint2B
  332. +0x288 Session : Ptr32 Void
  333. +0x28c Flags : Uint4B
复制代码

Windows 2000 Server
回复 支持 反对

使用道具 举报

发表于 2009-10-26 18:40:41 | 显示全部楼层
自己安装系统后使用windbg查看就行了
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-10-26 18:40:45 | 显示全部楼层
  1. +0x000 Pcb              : _KPROCESS
  2.       +0x000 Header           : _DISPATCHER_HEADER
  3.       +0x010 ProfileListHead : _LIST_ENTRY [ 0x8163cc00 - 0x8163cc00 ]
  4.       +0x018 DirectoryTableBase : [2] 0x249b000
  5.       +0x020 LdtDescriptor    : _KGDTENTRY
  6.       +0x028 Int21Descriptor : _KIDTENTRY
  7.       +0x030 IopmOffset       : 0x20ac
  8.       +0x032 Iopl             : 0 ''
  9.       +0x033 Unused           : 0 ''
  10.       +0x034 ActiveProcessors : 0
  11.       +0x038 KernelTime       : 0
  12.       +0x03c UserTime         : 0
  13.       +0x040 ReadyListHead    : _LIST_ENTRY [ 0x8163cc30 - 0x8163cc30 ]
  14.       +0x048 SwapListEntry    : _SINGLE_LIST_ENTRY
  15.       +0x04c VdmTrapcHandler : (null)
  16.       +0x050 ThreadListHead   : _LIST_ENTRY [ 0x81204c00 - 0x811fed98 ]
  17.       +0x058 ProcessLock      : 0
  18.       +0x05c Affinity         : 1
  19.       +0x060 AutoAlignment    : 0y0
  20.       +0x060 DisableBoost     : 0y0
  21.       +0x060 DisableQuantum   : 0y0
  22.       +0x060 ReservedFlags    : 0y00000000000000000000000000000 (0)
  23.       +0x060 ProcessFlags     : 0
  24.       +0x064 BasePriority     : 13 ''
  25.       +0x065 QuantumReset     : 36 '$'
  26.       +0x066 State            : 0 ''
  27.       +0x067 ThreadSeed       : 0 ''
  28.       +0x068 PowerState       : 0 ''
  29.       +0x069 IdealNode        : 0 ''
  30.       +0x06a Visited          : 0 ''
  31.       +0x06b Flags            : _KEXECUTE_OPTIONS
  32.       +0x06b ExecuteOptions   : 0 ''
  33.       +0x06c StackCount       : 4
  34.       +0x070 ProcessListEntry : _LIST_ENTRY [ 0x0 - 0x0 ]
  35.    +0x078 ProcessLock      : _EX_PUSH_LOCK
  36.       +0x000 Locked           : 0y0
  37.       +0x000 Waiting          : 0y0
  38.       +0x000 Waking           : 0y0
  39.       +0x000 MultipleShared   : 0y0
  40.       +0x000 Shared           : 0y0000000000000000000000000000 (0)
  41.       +0x000 Value            : 0
  42.       +0x000 Ptr              : (null)
  43.    +0x080 CreateTime       : _LARGE_INTEGER 0x1c8aff2`273b0893
  44.       +0x000 LowPart          : 0x273b0893
  45.       +0x004 HighPart         : 29929458
  46.       +0x000 u                : __unnamed
  47.       +0x000 QuadPart         : 128546043955185811
  48.    +0x088 ExitTime         : _LARGE_INTEGER 0x0
  49.       +0x000 LowPart          : 0
  50.       +0x004 HighPart         : 0
  51.       +0x000 u                : __unnamed
  52.       +0x000 QuadPart         : 0
  53.    +0x090 RundownProtect   : _EX_RUNDOWN_REF
  54.       +0x000 Count            : 0
  55.       +0x000 Ptr              : (null)
  56.    +0x094 UniqueProcessId : 0x000007d4
  57.    +0x098 ActiveProcessLinks : _LIST_ENTRY [ 0x808af068 - 0x81297958 ]
  58.       +0x000 Flink            : 0x808af068 _LIST_ENTRY [ 0x8179d878 - 0x8163cc88 ]
  59.       +0x004 Blink            : 0x81297958 _LIST_ENTRY [ 0x8163cc88 - 0x8120cad8 ]
  60.    +0x0a0 QuotaUsage       : [3] 0xd20
  61.    +0x0ac QuotaPeak        : [3] 0xde8
  62.    +0x0b8 CommitCharge     : 0x182
  63.    +0x0bc PeakVirtualSize : 0x20ea000
  64.    +0x0c0 VirtualSize      : 0x206a000
  65.    +0x0c4 SessionProcessLinks : _LIST_ENTRY [ 0xfa119010 - 0x81297984 ]
  66.       +0x000 Flink            : 0xfa119010 _LIST_ENTRY [ 0x815afc34 - 0x8163ccb4 ]
  67.       +0x004 Blink            : 0x81297984 _LIST_ENTRY [ 0x8163ccb4 - 0x8120cb04 ]
  68.    +0x0cc DebugPort        : (null)
  69.    +0x0d0 ExceptionPort    : 0xe13e14d8
  70.    +0x0d4 ObjectTable      : 0xe156c9d8 _HANDLE_TABLE
  71.       +0x000 TableCode        : 0xe1103000
  72.       +0x004 QuotaProcess     : 0x8163cbf0 _EPROCESS
  73.       +0x008 UniqueProcessId : 0x000007d4
  74.       +0x00c HandleTableLock : [4] _EX_PUSH_LOCK
  75.       +0x01c HandleTableList : _LIST_ENTRY [ 0x808b0928 - 0xe19f3e94 ]
  76.       +0x024 HandleContentionEvent : _EX_PUSH_LOCK
  77.       +0x028 DebugInfo        : (null)
  78.       +0x02c ExtraInfoPages   : 0
  79.       +0x030 FirstFree        : 0x17c
  80.       +0x034 LastFree         : 0
  81.       +0x038 NextHandleNeedingPool : 0x800
  82.       +0x03c HandleCount      : 93
  83.       +0x040 Flags            : 0
  84.       +0x040 StrictFIFO       : 0y0
  85.    +0x0d8 Token            : _EX_FAST_REF
  86.       +0x000 Object           : 0xe10eb705
  87.       +0x000 RefCnt           : 0y101
  88.       +0x000 Value            : 0xe10eb705
  89.    +0x0dc WorkingSetPage   : 0x279e
  90.    +0x0e0 AddressCreationLock : _KGUARDED_MUTEX
  91.       +0x000 Count            : 1
  92.       +0x004 Owner            : (null)
  93.       +0x008 Contention       : 0
  94.       +0x00c Gate             : _KGATE
  95.       +0x01c KernelApcDisable : 0
  96.       +0x01e SpecialApcDisable : 0
  97.       +0x01c CombinedApcDisable : 0
  98.    +0x100 HyperSpaceLock   : 0
  99.    +0x104 ForkInProgress   : (null)
  100.    +0x108 HardwareTrigger : 0
  101.    +0x10c PhysicalVadRoot : (null)
  102.    +0x110 CloneRoot        : (null)
  103.    +0x114 NumberOfPrivatePages : 0xec
  104.    +0x118 NumberOfLockedPages : 0
  105.    +0x11c Win32Process     : 0xe10fe898
  106.    +0x120 Job              : (null)
  107.    +0x124 SectionObject    : 0xe18996c0
  108.    +0x128 SectionBaseAddress : 0x01000000
  109.    +0x12c QuotaBlock       : 0x812c3828 _EPROCESS_QUOTA_BLOCK
  110.       +0x000 QuotaEntry       : [3] _EPROCESS_QUOTA_ENTRY
  111.       +0x030 QuotaList        : _LIST_ENTRY [ 0x808af228 - 0x8124fbe0 ]
  112.       +0x038 ReferenceCount   : 0x30c
  113.       +0x03c ProcessCount     : 6
  114.    +0x130 WorkingSetWatch : (null)
  115.    +0x134 Win32WindowStation : 0x00000050
  116.    +0x138 InheritedFromUniqueProcessId : 0x000006e4
  117.    +0x13c LdtInformation   : (null)
  118.    +0x140 VadFreeHint      : (null)
  119.    +0x144 VdmObjects       : (null)
  120.    +0x148 DeviceMap        : 0xe16ef388
  121.    +0x14c Spare0           : [3] (null)
  122.    +0x158 PageDirectoryPte : _HARDWARE_PTE
  123.       +0x000 Valid            : 0y0
  124.       +0x000 Write            : 0y0
  125.       +0x000 Owner            : 0y0
  126.       +0x000 WriteThrough     : 0y0
  127.       +0x000 CacheDisable     : 0y0
  128.       +0x000 Accessed         : 0y0
  129.       +0x000 Dirty            : 0y0
  130.       +0x000 LargePage        : 0y0
  131.       +0x000 Global           : 0y0
  132.       +0x000 CopyOnWrite      : 0y0
  133.       +0x000 Prototype        : 0y0
  134.       +0x000 reserved         : 0y0
  135.       +0x000 PageFrameNumber : 0y00000000000000000000 (0)
  136.    +0x158 Filler           : 0
  137.    +0x160 Session          : 0xfa119000
  138.    +0x164 ImageFileName    : [16] "taskmgr.exe"
  139.    +0x174 JobLinks         : _LIST_ENTRY [ 0x0 - 0x0 ]
  140.       +0x000 Flink            : (null)
  141.       +0x004 Blink            : (null)
  142.    +0x17c LockedPagesList : (null)
  143.    +0x180 ThreadListHead   : _LIST_ENTRY [ 0x81204c7c - 0x811fee14 ]
  144.       +0x000 Flink            : 0x81204c7c _LIST_ENTRY [ 0x81202fd4 - 0x8163cd70 ]
  145.       +0x004 Blink            : 0x811fee14 _LIST_ENTRY [ 0x8163cd70 - 0x8120477c ]
  146.    +0x188 SecurityPort     : (null)
  147.    +0x18c PaeTop           : (null)
  148.    +0x190 ActiveThreads    : 4
  149.    +0x194 GrantedAccess    : 0x1f0fff
  150.    +0x198 DefaultHardErrorProcessing : 0
  151.    +0x19c LastThreadExitStatus : 0
  152.    +0x1a0 Peb              : 0x7ffd9000 _PEB
  153.       +0x000 InheritedAddressSpace : 0 ''
  154.       +0x001 ReadImageFileExecOptions : 0 ''
  155.       +0x002 BeingDebugged    : 0 ''
  156.       +0x003 BitField         : 0 ''
  157.       +0x003 ImageUsesLargePages : 0y0
  158.       +0x003 SpareBits        : 0y0000000 (0)
  159.       +0x004 Mutant           : 0xffffffff
  160.       +0x008 ImageBaseAddress : 0x01000000
  161.       +0x00c Ldr              : 0x7c9b77e0 _PEB_LDR_DATA
  162.       +0x010 ProcessParameters : 0x00020000 _RTL_USER_PROCESS_PARAMETERS
  163.       +0x014 SubSystemData    : (null)
  164.       +0x018 ProcessHeap      : 0x000a0000
  165.       +0x01c FastPebLock      : 0x7c9b7740 _RTL_CRITICAL_SECTION
  166.       +0x020 AtlThunkSListPtr : (null)
  167.       +0x024 SparePtr2        : (null)
  168.       +0x028 EnvironmentUpdateCount : 1
  169.       +0x02c KernelCallbackTable : 0x77e129b0
  170.       +0x030 SystemReserved   : [1] 0
  171.       +0x034 SpareUlong       : 0
  172.       +0x038 FreeList         : (null)
  173.       +0x03c TlsExpansionCounter : 0
  174.       +0x040 TlsBitmap        : 0x7c9b8fd8
  175.       +0x044 TlsBitmapBits    : [2] 0xffff
  176.       +0x04c ReadOnlySharedMemoryBase : 0x7f6f0000
  177.       +0x050 ReadOnlySharedMemoryHeap : 0x7f6f0000
  178.       +0x054 ReadOnlyStaticServerData : 0x7f6f0688 -> (null)
  179.       +0x058 AnsiCodePageData : 0x7ffa0000
  180.       +0x05c OemCodePageData : 0x7ffa0000
  181.       +0x060 UnicodeCaseTableData : 0x7ffd1000
  182.       +0x064 NumberOfProcessors : 1
  183.       +0x068 NtGlobalFlag     : 0
  184.       +0x070 CriticalSectionTimeout : _LARGE_INTEGER 0xffffe86d`079b8000
  185.       +0x078 HeapSegmentReserve : 0x100000
  186.       +0x07c HeapSegmentCommit : 0x2000
  187.       +0x080 HeapDeCommitTotalFreeThreshold : 0x10000
  188.       +0x084 HeapDeCommitFreeBlockThreshold : 0x1000
  189.       +0x088 NumberOfHeaps    : 0xa
  190.       +0x08c MaximumNumberOfHeaps : 0x10
  191.       +0x090 ProcessHeaps     : 0x7c9b8a20 -> 0x000a0000
  192.       +0x094 GdiSharedHandleTable : 0x00430000
  193.       +0x098 ProcessStarterHelper : (null)
  194.       +0x09c GdiDCAttributeList : 0x14
  195.       +0x0a0 LoaderLock       : 0x7c9b77a0 _RTL_CRITICAL_SECTION
  196.       +0x0a4 OSMajorVersion   : 5
  197.       +0x0a8 OSMinorVersion   : 2
  198.       +0x0ac OSBuildNumber    : 0xece
  199.       +0x0ae OSCSDVersion     : 0x200
  200.       +0x0b0 OSPlatformId     : 2
  201.       +0x0b4 ImageSubsystem   : 2
  202.       +0x0b8 ImageSubsystemMajorVersion : 4
  203.       +0x0bc ImageSubsystemMinorVersion : 0
  204.       +0x0c0 ImageProcessAffinityMask : 0
  205.       +0x0c4 GdiHandleBuffer : [34] 0
  206.       +0x14c PostProcessInitRoutine : (null)
  207.       +0x150 TlsExpansionBitmap : 0x7c9b8fd0
  208.       +0x154 TlsExpansionBitmapBits : [32] 1
  209.       +0x1d4 SessionId        : 0
  210.       +0x1d8 AppCompatFlags   : _ULARGE_INTEGER 0x0
  211.       +0x1e0 AppCompatFlagsUser : _ULARGE_INTEGER 0x0
  212.       +0x1e8 pShimData        : (null)
  213.       +0x1ec AppCompatInfo    : (null)
  214.       +0x1f0 CSDVersion       : _UNICODE_STRING "Service Pack 2"
  215.       +0x1f8 ActivationContextData : 0x00090000 _ACTIVATION_CONTEXT_DATA
  216.       +0x1fc ProcessAssemblyStorageMap : 0x000a3740 _ASSEMBLY_STORAGE_MAP
  217.       +0x200 SystemDefaultActivationContextData : 0x00080000 _ACTIVATION_CONTEXT_DATA
  218.       +0x204 SystemAssemblyStorageMap : (null)
  219.       +0x208 MinimumStackCommit : 0
  220.       +0x20c FlsCallback      : 0x000a5408 -> (null)
  221.       +0x210 FlsListHead      : _LIST_ENTRY [ 0xa1f60 - 0xb3c48 ]
  222.       +0x218 FlsBitmap        : 0x7c9b8fc0
  223.       +0x21c FlsBitmapBits    : [4] 0xf
  224.       +0x22c FlsHighIndex     : 3
  225.    +0x1a4 PrefetchTrace    : _EX_FAST_REF
  226.       +0x000 Object           : (null)
  227.       +0x000 RefCnt           : 0y000
  228.       +0x000 Value            : 0
  229.    +0x1a8 ReadOperationCount : _LARGE_INTEGER 0x33
  230.       +0x000 LowPart          : 0x33
  231.       +0x004 HighPart         : 0
  232.       +0x000 u                : __unnamed
  233.       +0x000 QuadPart         : 51
  234.    +0x1b0 WriteOperationCount : _LARGE_INTEGER 0x33
  235.       +0x000 LowPart          : 0x33
  236.       +0x004 HighPart         : 0
  237.       +0x000 u                : __unnamed
  238.       +0x000 QuadPart         : 51
  239.    +0x1b8 OtherOperationCount : _LARGE_INTEGER 0x290
  240.       +0x000 LowPart          : 0x290
  241.       +0x004 HighPart         : 0
  242.       +0x000 u                : __unnamed
  243.       +0x000 QuadPart         : 656
  244.    +0x1c0 ReadTransferCount : _LARGE_INTEGER 0x1254
  245.       +0x000 LowPart          : 0x1254
  246.       +0x004 HighPart         : 0
  247.       +0x000 u                : __unnamed
  248.       +0x000 QuadPart         : 4692
  249.    +0x1c8 WriteTransferCount : _LARGE_INTEGER 0x171c
  250.       +0x000 LowPart          : 0x171c
  251.       +0x004 HighPart         : 0
  252.       +0x000 u                : __unnamed
  253.       +0x000 QuadPart         : 5916
  254.    +0x1d0 OtherTransferCount : _LARGE_INTEGER 0x5385
  255.       +0x000 LowPart          : 0x5385
  256.       +0x004 HighPart         : 0
  257.       +0x000 u                : __unnamed
  258.       +0x000 QuadPart         : 21381
  259.    +0x1d8 CommitChargeLimit : 0
  260.    +0x1dc CommitChargePeak : 0x182
  261.    +0x1e0 AweInfo          : (null)
  262.    +0x1e4 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
  263.       +0x000 ImageFileName    : 0x811f1b58 _OBJECT_NAME_INFORMATION
  264.    +0x1e8 Vm               : _MMSUPPORT
  265.       +0x000 WorkingSetExpansionLinks : _LIST_ENTRY [ 0x808ad410 - 0x81297aa8 ]
  266.       +0x008 LastTrimTime     : _LARGE_INTEGER 0x1c8aff2`273b0893
  267.       +0x010 Flags            : _MMSUPPORT_FLAGS
  268.       +0x014 PageFaultCount   : 0x584
  269.       +0x018 PeakWorkingSetSize : 0x481
  270.       +0x01c GrowthSinceLastEstimate : 0x584
  271.       +0x020 MinimumWorkingSetSize : 0x32
  272.       +0x024 MaximumWorkingSetSize : 0x159
  273.       +0x028 VmWorkingSetList : 0xc0502000 _MMWSL
  274.       +0x02c Claim            : 0
  275.       +0x030 NextEstimationSlot : 0
  276.       +0x034 NextAgingSlot    : 0
  277.       +0x038 EstimatedAvailable : 0
  278.       +0x03c WorkingSetSize   : 0x481
  279.       +0x040 WorkingSetMutex : _EX_PUSH_LOCK
  280.    +0x230 MmProcessLinks   : _LIST_ENTRY [ 0x808a8e08 - 0x81297af0 ]
  281.       +0x000 Flink            : 0x808a8e08 _LIST_ENTRY [ 0x808a0230 - 0x8163ce20 ]
  282.       +0x004 Blink            : 0x81297af0 _LIST_ENTRY [ 0x8163ce20 - 0x8120cc70 ]
  283.    +0x238 ModifiedPageCount : 0x764
  284.    +0x23c JobStatus        : 0
  285.    +0x240 Flags            : 0x450801
  286.    +0x240 CreateReported   : 0y1
  287.    +0x240 NoDebugInherit   : 0y0
  288.    +0x240 ProcessExiting   : 0y0
  289.    +0x240 ProcessDelete    : 0y0
  290.    +0x240 Wow64SplitPages : 0y0
  291.    +0x240 VmDeleted        : 0y0
  292.    +0x240 OutswapEnabled   : 0y0
  293.    +0x240 Outswapped       : 0y0
  294.    +0x240 ForkFailed       : 0y0
  295.    +0x240 Wow64VaSpace4Gb : 0y0
  296.    +0x240 AddressSpaceInitialized : 0y10
  297.    +0x240 SetTimerResolution : 0y0
  298.    +0x240 BreakOnTermination : 0y0
  299.    +0x240 SessionCreationUnderway : 0y0
  300.    +0x240 WriteWatch       : 0y0
  301.    +0x240 ProcessInSession : 0y1
  302.    +0x240 OverrideAddressSpace : 0y0
  303.    +0x240 HasAddressSpace : 0y1
  304.    +0x240 LaunchPrefetched : 0y0
  305.    +0x240 InjectInpageErrors : 0y0
  306.    +0x240 VmTopDown        : 0y0
  307.    +0x240 ImageNotifyDone : 0y1
  308.    +0x240 PdeUpdateNeeded : 0y0
  309.    +0x240 VdmAllowed       : 0y0
  310.    +0x240 SmapAllowed      : 0y0
  311.    +0x240 CreateFailed     : 0y0
  312.    +0x240 DefaultIoPriority : 0y000
  313.    +0x240 Spare1           : 0y0
  314.    +0x240 Spare2           : 0y0
  315.    +0x244 ExitStatus       : 259
  316.    +0x248 NextPageColor    : 0xe4d2
  317.    +0x24a SubSystemMinorVersion : 0 ''
  318.    +0x24b SubSystemMajorVersion : 0x4 ''
  319.    +0x24a SubSystemVersion : 0x400
  320.    +0x24c PriorityClass    : 0x3 ''
  321.    +0x250 VadRoot          : _MM_AVL_TABLE
  322.       +0x000 BalancedRoot     : _MMADDRESS_NODE
  323.       +0x014 DepthOfTree      : 0y00111 (0x7)
  324.       +0x014 Unused           : 0y000
  325.       +0x014 NumberGenericTableElements : 0y000000000000000001010100 (0x54)
  326.       +0x018 NodeHint         : 0x811b2b80
  327.       +0x01c NodeFreeHint     : (null)
  328.    +0x270 Cookie           : 0x26f245ab

复制代码

Windows Server 2003 3790
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-10-26 18:43:03 | 显示全部楼层
  1. nt!_EPROCESS
  2. +0x000 Pcb : _KPROCESS
  3. +0x06c ExitStatus : 259
  4. +0x070 LockEvent : _KEVENT
  5. +0x080 LockCount : 1
  6. +0x088 CreateTime : _LARGE_INTEGER 0x1c87e74`e265cc4c
  7. +0x090 ExitTime : _LARGE_INTEGER 0x0
  8. +0x098 LockOwner : (null)
  9. +0x09c UniqueProcessId : 0x000001c8
  10. +0x0a0 ActiveProcessLinks : _LIST_ENTRY [ 0x8046dcb0 - 0x81672a60 ]
  11. +0x0a8 QuotaPeakPoolUsage : [2] 0x824
  12. +0x0b0 QuotaPoolUsage : [2] 0x684
  13. +0x0b8 PagefileUsage : 0x39
  14. +0x0bc CommitCharge : 0x39
  15. +0x0c0 PeakPagefileUsage : 0x39
  16. +0x0c4 PeakVirtualSize : 0x8f0000
  17. +0x0c8 VirtualSize : 0x8f0000
  18. +0x0d0 Vm : _MMSUPPORT
  19. +0x118 SessionProcessLinks : _LIST_ENTRY [ 0x0 - 0x0 ]
  20. +0x120 DebugPort : (null)
  21. +0x124 ExceptionPort : 0xe19c2b20
  22. +0x128 ObjectTable : 0x8166ef48 _HANDLE_TABLE
  23. +0x12c Token : 0xe1b61250
  24. +0x130 WorkingSetLock : _FAST_MUTEX
  25. +0x150 WorkingSetPage : 0x4886
  26. +0x154 ProcessOutswapEnabled : 0 ''
  27. +0x155 ProcessOutswapped : 0 ''
  28. +0x156 AddressSpaceInitialized : 0x2 ''
  29. +0x157 AddressSpaceDeleted : 0 ''
  30. +0x158 AddressCreationLock : _FAST_MUTEX
  31. +0x178 HyperSpaceLock : 0
  32. +0x17c ForkInProgress : (null)
  33. +0x180 VmOperation : 0
  34. +0x182 ForkWasSuccessful : 0 ''
  35. +0x183 MmAgressiveWsTrimMask : 0 ''
  36. +0x184 VmOperationEvent : (null)
  37. +0x188 PaeTop : (null)
  38. +0x18c LastFaultCount : 0
  39. +0x190 ModifiedPageCount : 0
  40. +0x194 VadRoot : 0x8166f928
  41. +0x198 VadHint : 0x8166c788
  42. +0x19c CloneRoot : (null)
  43. +0x1a0 NumberOfPrivatePages : 0x31
  44. +0x1a4 NumberOfLockedPages : 0
  45. +0x1a8 NextPageColor : 0x20c4
  46. +0x1aa ExitProcessCalled : 0 ''
  47. +0x1ab CreateProcessReported : 0 ''
  48. +0x1ac SectionHandle : 0x00000004
  49. +0x1b0 Peb : 0x7ffdf000 _PEB
  50. +0x1b4 SectionBaseAddress : 0x01000000
  51. +0x1b8 QuotaBlock : 0x8046dd00 _EPROCESS_QUOTA_BLOCK
  52. +0x1bc LastThreadExitStatus : 0
  53. +0x1c0 WorkingSetWatch : (null)
  54. +0x1c4 Win32WindowStation : 0x00000040
  55. +0x1c8 InheritedFromUniqueProcessId : 0x000000d4
  56. +0x1cc GrantedAccess : 0x1f0fff
  57. +0x1d0 DefaultHardErrorProcessing : 0
  58. +0x1d4 LdtInformation : (null)
  59. +0x1d8 VadFreeHint : 0x8166c768
  60. +0x1dc VdmObjects : (null)
  61. +0x1e0 DeviceMap : 0x8187dee8
  62. +0x1e4 SessionId : 0
  63. +0x1e8 PhysicalVadList : _LIST_ENTRY [ 0x8167db08 - 0x8167db08 ]
  64. +0x1f0 PageDirectoryPte : _HARDWARE_PTE_X86
  65. +0x1f0 Filler : 0
  66. +0x1f8 PaePageDirectoryPage : 0
  67. +0x1fc ImageFileName : [16] "svchost.exe"
  68. +0x20c VmTrimFaultValue : 0
  69. +0x210 SetTimerResolution : 0 ''
  70. +0x211 PriorityClass : 0x2 ''
  71. +0x212 SubSystemMinorVersion : 0 ''
  72. +0x213 SubSystemMajorVersion : 0x4 ''
  73. +0x212 SubSystemVersion : 0x400
  74. +0x214 Win32Process : 0xe1b64508
  75. +0x218 Job : (null)
  76. +0x21c JobStatus : 0
  77. +0x220 JobLinks : _LIST_ENTRY [ 0x0 - 0x0 ]
  78. +0x228 LockedPagesList : (null)
  79. +0x22c SecurityPort : (null)
  80. +0x230 Wow64Process : (null)
  81. +0x238 ReadOperationCount : _LARGE_INTEGER 0x2
  82. +0x240 WriteOperationCount : _LARGE_INTEGER 0x2
  83. +0x248 OtherOperationCount : _LARGE_INTEGER 0x39
  84. +0x250 ReadTransferCount : _LARGE_INTEGER 0x30
  85. +0x258 WriteTransferCount : _LARGE_INTEGER 0xc
  86. +0x260 OtherTransferCount : _LARGE_INTEGER 0x920
  87. +0x268 CommitChargeLimit : 0
  88. +0x26c CommitChargePeak : 0x39
  89. +0x270 ThreadListHead : _LIST_ENTRY [ 0x8166dfe0 - 0x8166be80 ]
  90. +0x278 VadPhysicalPagesBitMap : (null)
  91. +0x27c VadPhysicalPages : 0
  92. +0x280 AweLock : 0
  93. +0x284 pImageFileName : 0x8167c818 _UNICODE_STRING "\WINNT\system32\svchost.exe"
  94. kd> dt nt!_KPROCESS 8167d920
  95. +0x000 Header : _DISPATCHER_HEADER
  96. +0x010 ProfileListHead : _LIST_ENTRY [ 0x8167d930 - 0x8167d930 ]
  97. +0x018 DirectoryTableBase : [2] 0x47c4000
  98. +0x020 LdtDescriptor : _KGDTENTRY
  99. +0x028 Int21Descriptor : _KIDTENTRY
  100. +0x030 IopmOffset : 0x20ac
  101. +0x032 Iopl : 0 ''
  102. +0x033 VdmFlag : 0 ''
  103. +0x034 ActiveProcessors : 0
  104. +0x038 KernelTime : 0
  105. +0x03c UserTime : 1
  106. +0x040 ReadyListHead : _LIST_ENTRY [ 0x8167d960 - 0x8167d960 ]
  107. +0x048 SwapListEntry : _LIST_ENTRY [ 0x0 - 0x0 ]
  108. +0x050 ThreadListHead : _LIST_ENTRY [ 0x8166df44 - 0x8166bde4 ]
  109. +0x058 ProcessLock : 0
  110. +0x05c Affinity : 1
  111. +0x060 StackCount : 2
  112. +0x062 BasePriority : 8 ''
  113. +0x063 ThreadQuantum : 6 ''
  114. +0x064 AutoAlignment : 0 ''
  115. +0x065 State : 0 ''
  116. +0x066 ThreadSeed : 0x62 'b'
  117. +0x067 DisableBoost : 0 ''
  118. +0x068 PowerState : 0 ''
  119. +0x069 DisableQuantum : 0 ''
  120. +0x06a Spare : [2] ""
复制代码

Windows 2000
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-10-26 18:45:58 | 显示全部楼层
  1. nt!_EPROCESS
  2.    +0x000 Pcb              : _KPROCESS
  3.    +0x080 ProcessLock      : _EX_PUSH_LOCK
  4.    +0x088 CreateTime       : _LARGE_INTEGER 0x1c87ec2`f35608ed
  5.    +0x090 ExitTime         : _LARGE_INTEGER 0x0
  6.    +0x098 RundownProtect   : _EX_RUNDOWN_REF
  7.    +0x09c UniqueProcessId  : 0x00000768
  8.    +0x0a0 ActiveProcessLinks : _LIST_ENTRY [ 0x8532d260 - 0x8533d0c0 ]
  9.    +0x0a8 QuotaUsage       : [3] 0x4c88
  10.    +0x0b4 QuotaPeak        : [3] 0x50e8
  11.    +0x0c0 CommitCharge     : 0xd13
  12.    +0x0c4 PeakVirtualSize  : 0xa09d000
  13.    +0x0c8 VirtualSize      : 0x9445000
  14.    +0x0cc SessionProcessLinks : _LIST_ENTRY [ 0x85311b64 - 0x8533d0ec ]
  15.    +0x0d4 DebugPort        : (null)
  16.    +0x0d8 ExceptionPortData : 0x851a5030
  17.    +0x0d8 ExceptionPortValue : 0x851a5030
  18.    +0x0d8 ExceptionPortState : 0y000
  19.    +0x0dc ObjectTable      : 0x92ef1260 _HANDLE_TABLE
  20.    +0x0e0 Token            : _EX_FAST_REF
  21.    +0x0e4 WorkingSetPage   : 0x84c1
  22.    +0x0e8 AddressCreationLock : _EX_PUSH_LOCK
  23.    +0x0ec RotateInProgress : (null)
  24.    +0x0f0 ForkInProgress   : (null)
  25.    +0x0f4 HardwareTrigger  : 0
  26.    +0x0f8 PhysicalVadRoot  : (null)
  27.    +0x0fc CloneRoot        : (null)
  28.    +0x100 NumberOfPrivatePages : 0x76e
  29.    +0x104 NumberOfLockedPages : 0
  30.    +0x108 Win32Process     : 0xfe6847c0
  31.    +0x10c Job              : (null)
  32.    +0x110 SectionObject    : 0x92ef1030
  33.    +0x114 SectionBaseAddress : 0x006d0000
  34.    +0x118 QuotaBlock       : 0x84fd6370 _EPROCESS_QUOTA_BLOCK
  35.    +0x11c WorkingSetWatch  : (null)
  36.    +0x120 Win32WindowStation : 0x00000034
  37.    +0x124 InheritedFromUniqueProcessId : 0x00000728
  38.    +0x128 LdtInformation   : (null)
  39.    +0x12c Spare            : (null)
  40.    +0x130 VdmObjects       : (null)
  41.    +0x134 DeviceMap        : 0x8f5d9990
  42.    +0x138 EtwDataSource    : (null)
  43.    +0x13c FreeTebHint      : 0x7ffde000
  44.    +0x140 PageDirectoryPte : _HARDWARE_PTE
  45.    +0x140 Filler           : 0
  46.    +0x148 Session          : 0x8970c000
  47.    +0x14c ImageFileName    : [16]  "explorer.exe"
  48.    +0x15c JobLinks         : _LIST_ENTRY [ 0x0 - 0x0 ]
  49.    +0x164 LockedPagesList  : (null)
  50.    +0x168 ThreadListHead   : _LIST_ENTRY [ 0x85308278 - 0x852f0950 ]
  51.    +0x170 SecurityPort     : (null)
  52.    +0x174 PaeTop           : 0x84b5b340
  53.    +0x178 ActiveThreads    : 0x19
  54.    +0x17c ImagePathHash    : 0x7a3328da
  55.    +0x180 DefaultHardErrorProcessing : 0
  56.    +0x184 LastThreadExitStatus : 0
  57.    +0x188 Peb              : 0x7ffd8000 _PEB
  58.    +0x18c PrefetchTrace    : _EX_FAST_REF
  59.    +0x190 ReadOperationCount : _LARGE_INTEGER 0x2b0
  60.    +0x198 WriteOperationCount : _LARGE_INTEGER 0xa
  61.    +0x1a0 OtherOperationCount : _LARGE_INTEGER 0x2f54
  62.    +0x1a8 ReadTransferCount : _LARGE_INTEGER 0x63ef8
  63.    +0x1b0 WriteTransferCount : _LARGE_INTEGER 0x420
  64.    +0x1b8 OtherTransferCount : _LARGE_INTEGER 0xaafc45
  65.    +0x1c0 CommitChargeLimit : 0
  66.    +0x1c4 CommitChargePeak : 0xd99
  67.    +0x1c8 AweInfo          : (null)
  68.    +0x1cc SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
  69.    +0x1d0 Vm               : _MMSUPPORT
  70.    +0x218 MmProcessLinks   : _LIST_ENTRY [ 0x8532d3d8 - 0x8533d238 ]
  71.    +0x220 ModifiedPageCount : 0x5a7
  72.    +0x224 Flags2           : 0xd000
  73.    +0x224 JobNotReallyActive : 0y0
  74.    +0x224 AccountingFolded : 0y0
  75.    +0x224 NewProcessReported : 0y0
  76.    +0x224 ExitProcessReported : 0y0
  77.    +0x224 ReportCommitChanges : 0y0
  78.    +0x224 LastReportMemory : 0y0
  79.    +0x224 ReportPhysicalPageChanges : 0y0
  80.    +0x224 HandleTableRundown : 0y0
  81.    +0x224 NeedsHandleRundown : 0y0
  82.    +0x224 RefTraceEnabled  : 0y0
  83.    +0x224 NumaAware        : 0y0
  84.    +0x224 ProtectedProcess : 0y0
  85.    +0x224 DefaultPagePriority : 0y101
  86.    +0x224 PrimaryTokenFrozen : 0y1
  87.    +0x224 ProcessVerifierTarget : 0y0
  88.    +0x224 StackRandomizationDisabled : 0y0
  89.    +0x224 AffinityPermanent : 0y0
  90.    +0x224 AffinityUpdateEnable : 0y0
  91.    +0x224 CrossSessionCreate : 0y0
  92.    +0x228 Flags            : 0x144d0801
  93.    +0x228 CreateReported   : 0y1
  94.    +0x228 NoDebugInherit   : 0y0
  95.    +0x228 ProcessExiting   : 0y0
  96.    +0x228 ProcessDelete    : 0y0
  97.    +0x228 Wow64SplitPages  : 0y0
  98.    +0x228 VmDeleted        : 0y0
  99.    +0x228 OutswapEnabled   : 0y0
  100.    +0x228 Outswapped       : 0y0
  101.    +0x228 ForkFailed       : 0y0
  102.    +0x228 Wow64VaSpace4Gb  : 0y0
  103.    +0x228 AddressSpaceInitialized : 0y10
  104.    +0x228 SetTimerResolution : 0y0
  105.    +0x228 BreakOnTermination : 0y0
  106.    +0x228 DeprioritizeViews : 0y0
  107.    +0x228 WriteWatch       : 0y0
  108.    +0x228 ProcessInSession : 0y1
  109.    +0x228 OverrideAddressSpace : 0y0
  110.    +0x228 HasAddressSpace  : 0y1
  111.    +0x228 LaunchPrefetched : 0y1
  112.    +0x228 InjectInpageErrors : 0y0
  113.    +0x228 VmTopDown        : 0y0
  114.    +0x228 ImageNotifyDone  : 0y1
  115.    +0x228 PdeUpdateNeeded  : 0y0
  116.    +0x228 VdmAllowed       : 0y0
  117.    +0x228 SmapAllowed      : 0y0
  118.    +0x228 ProcessInserted  : 0y1
  119.    +0x228 DefaultIoPriority : 0y010
  120.    +0x228 ProcessSelfDelete : 0y0
  121.    +0x228 SpareProcessFlags : 0y0
  122.    +0x22c ExitStatus       : 259
  123.    +0x230 Spare7           : 0
  124.    +0x232 SubSystemMinorVersion : 0 ''
  125.    +0x233 SubSystemMajorVersion : 0x6 ''
  126.    +0x232 SubSystemVersion : 0x600
  127.    +0x234 PriorityClass    : 0x2 ''
  128.    +0x238 VadRoot          : _MM_AVL_TABLE
  129.    +0x258 Cookie           : 0x72607a1f
  130.    +0x25c AlpcContext      : _ALPC_PROCESS_CONTEXT
  131. kd> dt nt!_KPROCESS 8535f020
  132.    +0x000 Header           : _DISPATCHER_HEADER
  133.    +0x010 ProfileListHead  : _LIST_ENTRY [ 0x8535f030 - 0x8535f030 ]
  134.    +0x018 DirectoryTableBase : 0x1f75b340
  135.    +0x01c Unused0          : 0
  136.    +0x020 LdtDescriptor    : _KGDTENTRY
  137.    +0x028 Int21Descriptor  : _KIDTENTRY
  138.    +0x030 IopmOffset       : 0x20ac
  139.    +0x032 Unused1          : 0 ''
  140.    +0x033 Unused2          : 0 ''
  141.    +0x034 ActiveProcessors : 0
  142.    +0x038 KernelTime       : 0x7e
  143.    +0x03c UserTime         : 0x22
  144.    +0x040 ReadyListHead    : _LIST_ENTRY [ 0x8535f060 - 0x8535f060 ]
  145.    +0x048 SwapListEntry    : _SINGLE_LIST_ENTRY
  146.    +0x04c VdmTrapcHandler  : (null)
  147.    +0x050 ThreadListHead   : _LIST_ENTRY [ 0x853081f4 - 0x852f08cc ]
  148.    +0x058 ProcessLock      : 0
  149.    +0x05c Affinity         : 1
  150.    +0x060 AutoAlignment    : 0y0
  151.    +0x060 DisableBoost     : 0y0
  152.    +0x060 DisableQuantum   : 0y0
  153.    +0x060 ReservedFlags    : 0y00000000000000000000000000000 (0)
  154.    +0x060 ProcessFlags     : 0
  155.    +0x064 BasePriority     : 8 ''
  156.    +0x065 QuantumReset     : 6 ''
  157.    +0x066 State            : 0 ''
  158.    +0x067 ThreadSeed       : 0 ''
  159.    +0x068 PowerState       : 0 ''
  160.    +0x069 IdealNode        : 0 ''
  161.    +0x06a Visited          : 0 ''
  162.    +0x06b Flags            : _KEXECUTE_OPTIONS
  163.    +0x06b ExecuteOptions   : 0x72 'r'
  164.    +0x06c StackCount       : 0x19
  165.    +0x070 ProcessListEntry : _LIST_ENTRY [ 0x0 - 0x0 ]
  166.    +0x078 CycleTime        : 0x1`236c8e36

复制代码

Windows Vista
回复 支持 反对

使用道具 举报

发表于 2009-10-26 20:29:32 | 显示全部楼层
好深奥``` 初学者看不懂~~

请教一下 EProcess是什么东西?  是干什么用的?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

文字版|手机版|小黑屋|VBGood  

GMT+8, 2022-7-4 23:29

VB爱好者乐园(VBGood)
快速回复 返回顶部 返回列表