-
-
[旧帖]
[求助]关于句柄表用windbg查看
0.00雪花
-
发表于:
2009-10-19 16:31
3852
-
[旧帖] [求助]关于句柄表用windbg查看
0.00雪花
我现在想对一个带有二级句柄表的进程跟踪这个进程的对象
PROCESS 85c7f6e8 SessionId: 0 Cid: 0f9c Peb: 7ffde000 ParentCid: 07c0
DirBase: 106c0240 ObjectTable: e10d5260 HandleCount: 1679.
Image: QQ.exe
lkd> dt _HANDLE_TABLE e10d5260
nt!_HANDLE_TABLE
+0x000 TableCode : 0xe39fe001 --------这里表示在2级句柄表
+0x004 QuotaProcess : 0x85c7f6e8 _EPROCESS
+0x008 UniqueProcessId : 0x00000f9c
+0x00c HandleTableLock : [4] _EX_PUSH_LOCK
+0x01c HandleTableList : _LIST_ENTRY [ 0xe117c144 - 0xe30884bc ]
+0x024 HandleContentionEvent : _EX_PUSH_LOCK
+0x028 DebugInfo : (null)
+0x02c ExtraInfoPages : 0
+0x030 FirstFree : 0x1754
+0x034 LastFree : 0
+0x038 NextHandleNeedingPool : 0x2000
+0x03c HandleCount : 1679
+0x040 Flags : 0
+0x040 StrictFIFO : 0y0
lkd> dd 0xe39fe000
e39fe000 e3612000 e39ff000 e3ffb000 e3d44000
e39fe010 00000000 00000000 00000000 00000000
怎么用winbdg的方式来遍历这个句柄表,各位大哥能给点提示么?
[注意]看雪招聘,专注安全领域的专业人才平台!
