123456

摘要： 8.24 EPROCESS结构lkd> !process 93c 0Searching for Process with Cid == 93cCid Handle table at a84d9000 with 1384 Entries in usePROCESS 8583c318 SessionId: 1 Cid: 093c Peb: 7ffdc000 ParentCid: 0d30 DirBase: ce266920 ObjectTable: baff6238 HandleCount: 69. Image: notepad.exe其中8586c318即是进程的E... 阅读全文

摘要： !idt显示指定的中断分配表(interrupt dispatch table (IDT))中的中断服务例程(interrupt service routine (ISR))最典型的自陷int 2e，其中断表使用的是:lkd> !idt 2eDumping IDT:2e: 82c8369e nt!KiSystemService如不指定IDT，会简短的显示目标机中所有处理器的IDT：lkd> !idtDumping IDT:37: 82c29104 hal!PicSpuriousService3751: 85e672d8 ataport!IdePortInterrupt (KINTE 阅读全文

摘要： 操作比较简单：1.开启调试:2.重启电脑3.File--kernel Debug...--Local，点击确定如提示NT symbols are incorrect, please fix symbols，用.symfix+设置下，再.reload /f即可 阅读全文