windbg 命令

 

一: 查看结构定义:

 

1. 查看eprocess的结构:  dt _EPROCESS

2.       .....kprocess  :    dt _KPROCESS

 

相关的内容:

dt  pspcidtable

dt _HANDLE_TABLE

 

如果要查看具体的结构:   使用  dt _eprocess 0x80001234(eprocess 的地址)

dt _HANDLE_TABLE 8114a938

 

二: 枚举进程信息:

!process 0 0

 

三。 以**结构查看某个地址

!handle  0x******

!object  0x*******

!thread  0x*******

 

 

 

 

你可能感兴趣的:(命令)