[Windows内核分析]KPCR结构体介绍 (CPU控制区 Processor Control
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html ? 逆向分析操作系统内核代码至少需要具备两项技能:
? 一、KPCR结构体介绍
? ? 二、KPCR结构体成员详解 使用windbg的 kd _KPCR 命令来查看该结构体成员。 ?? ???? kd > dt _KPCR 1)_NT_TIB(?+ 0x000 NtTib ) 结构体介绍 ? 2)_KPRCB 结构体介绍 ( ? 位于 + 0x120 PrcbData : _KPRCB,同时 ?+ 0x020 Prcb : Ptr32 _KPRCB 又指向) 该结构体上千字节,这里仅节选部分有用的。 kd > dt _KPRCB?? ??? ??? ?ntdll!_KPRCB?? ??? ??? ?+ 0x000 MinorVersion???? : Uint2B?? ??? ??? ?+ 0x002 MajorVersion : Uint2B?? ??? ??? ?+ 0x004 CurrentThread : Ptr32 _KTHREAD?? ?// 当前CPU正在跑的线程?? ??? ??? ?+ 0x008 NextThread : Ptr32 _KTHREAD?? ?// 一会切换的切换的是谁?? ??? ??? ?+ 0x00c IdleThread : Ptr32 _KTHREAD?? ?// 如果没有程序运行,跑的空闲线程是谁?? ??? ??? ?+ 0x010 LegacyNumber : UChar?? ??? ??? ?+ 0x011 NestingLevel : UChar?? ??? ??? ?+ 0x012 BuildType : Uint2B?? ??? ??? ?+ 0x014 CpuType : Char (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- Windows Server2008建立组织单位、组、用户以及文件赋权部门
- 如何在Windows中旋转tomcat日志?什么是最好的方法?
- windows-server-2003 – “回滚”到默认域控制器策略
- windows – PDC已经死了,其他人没有复制我应该先做什么?
- 克隆 – 适用于Windows的最佳服务器类幻像工具
- windows – 当不访问域的网络时,域中的计算机启动速度很慢
- windows-server-2008-r2 – 集群故障转移和奇怪的无偿arp行
- 删除(或添加)多余系统引导项
- windows环境下的Anaconda安装与OpenCV机器视觉环境搭建
- active-directory – 如何登录不信任自己的域控制器
- windows-server-2012-r2 – 将GPO备份导入其他域
- certificate – 将私钥标记为不可导出
- Windows卷影复制错误:2155348129
- 用键盘上的按钮显示UIView,比如Skype,Viber mess
- Window中的Docker 拉取Mysql镜像 并在本地Navica
- windows – 通过tf.exe确定TFS工作区的本地路径
- windows-xp – 从命令行添加一个新的计划任务,其
- windows-7 – Cisco Anyconnect:禁用远程桌面的
- xaml – 删除以前在WinRT中的DataTemplate中使用
- windows-server-2003 – 运行我自己的专用服务器