Syser 调试源码驱动 查看内核NTopenprocess

1.使用工具Syser 1900.1178、Kernel Detective v1.3.0

kd1.3， 122索引号Ntopenprocess 

 

2 syser找到KeServiceDescriptorTable，计算Ntopenprocess，查看结果

2）最后转到Ntopenprocess内存中位置查看。