软件调试笔记9 - Windows概要：进程结构：EPROCESS

下面，通过记事本程序来详细查看进程的每一项内容。

首先打开WINDBG并进入本地内核调试，然后打开记事本程序。用命令!process 0 0列出所有进程。 第一个参数0表示所有进程，第二个0表示基本的进程属性。

找到notepad.exe程序的内容。

EPROCESS结构：

Process后面的地址指向的就是EPROCESS结构，很多时候WINDOWS内核就是用这个指针来代表一个进程的。使用DT命令（显示类型结构命令）来观察该结构的各个字段和取值。

 

也可以用!process命令加上EPROCESS的地址来显示该进程的关键信息。