-
-
[旧帖]
[求助]菜鸟关于PspCidTable的疑问
0.00雪花
-
发表于:
2011-10-18 17:08
1331
-
[旧帖] [求助]菜鸟关于PspCidTable的疑问
0.00雪花
(1)windbg中获得pspcidTable
kd> dd pspcidtable
80562460 e1000088 00000002
(2)获得TableCode
kd> dt nt!_handle_table e1000088
+0x000 TableCode : 0xe1003000
(3)一层表,直接求内容
kd> dd e1003000
e1003000 00000000 fffffffe 80e82661 00000000
(4)80e82661 & 0xfffffff8 |0x80000000 = 80e82660
kd> !object 80e82660
Object: 80e82660 Type: (80e82ca0) Process
ObjectHeader: 80e82648 (old version)
HandleCount: 2 PointerCount: 61
(5)80e82660+0x18 = 80e82678
kd> !object 80e82678
Object: 80e82678 Type: (80e82668)
ObjectHeader: 80e82660 (old version)
HandleCount: 0 PointerCount: 1769475
Directory Object: 80e825f8 Name: (*** Name not accessible ***)
按竹君大牛的程序,意思是(4)中求得的是EPROCESS对象,但是DebugMan中说(5)才是,而(4)中求得的是对象头部。
根据(4)(5)我实在是看不出来到底哪种说法是正确的(都说明了ObjectHeader),请大牛们指点一下
注:xp sp3下
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课