摘要:
在自己开发的驱动中进行进程遍历 在windows每个进程都有一个EPROCESS结构体,除了Idle空闲进程和system进程之外,其余的进程都在磁盘上有自己的可执行文件,而Idle进程和system进程的EPROCESS是由系统伪造的,结构体中对应的ImageFileName也不实际存在于磁盘上。 阅读全文
posted @ 2022-10-04 15:38
psj00
阅读(871)
评论(0)
推荐(0)
摘要:
在windbg中 使用命令 !handle 0 5 //参数0代表列出所有句柄,参数5代表显示对象名称和类型。 !handle 0 6 Mutant //只显示互斥类型的对象 阅读全文
posted @ 2022-10-04 14:42
psj00
阅读(125)
评论(0)
推荐(0)
浙公网安备 33010602011771号