经常来看坛子里前辈的文章，学到不少东西，可是自己却一直不是正式会员。
学习了一下Windbg，写了一个遍历进程，显示进程名的脚本，只为求邀请码，不知道能否成功。
祝看雪论坛越办越好！

r $t0 = @@masm(poi[PsInitialSystemProcess]);                                                                                                                        $$ $t0为System进程的_EPROCESS指针;
r $t1 = @$t0 + @@c++(0x88);                                                                                                                                                                $$ $t1为_EPROCESS的ActiveProcessLinks域的指针;       
r $t2 = @@c++(#CONTAINING_RECORD(@@masm(poi[@$t1]), _EPROCESS, ActiveProcessLinks)) + @@c++(0x88);                $$ $t2为下一个_EPROCESS结构的ActiveProcessLinks域的指针;

.while(@$t1 != @$t2)
{
        .printf "%ma\n", @@c++(@$t2+0xec);
        r $t2 = @@c++(#CONTAINING_RECORD(@@masm(poi[@$t2]), _EPROCESS, ActiveProcessLinks)) + @@c++(0x88);
}

结果为：
lkd> $$><d:\install\test.txt
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
spoolsv.exe
explorer.exe
IcbcDaemon.exe
SddSUpdate.exe
igfxsrvc.exe
igfxtray.exe
igfxpers.exe
ICBCEBankAssist
stickies.exe
YodaoDict.exe
WordBook.exe
svchost.exe
AliIM.exe
wmiprvse.exe
sogoupinyintray
AliimSafe.exe
firefox.exe
plugin-containe
plugin-containe
plugin-containe
notepad++.exe
SogouCloud.exe
Foxit Reader.ex
notepad++.exe
notepad++.exe
Foxit Updater.e
Foxit Updater.e
VirtualBox.exe
VBoxSVC.exe
VirtualBox.exe
windbg.exe
notepad++.exe

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)