进程对象,线程对象都是在系统空间,但是peb,teb却是在用户空间。因为它们需要一些用户态的代码来修改它们。
csrss会为该会话中每个进程创建一个CSR_PROCESS的结构。
win32k.sys 会为那些第一次使用GUI的线程所属的进程创建 W32PROCESS结构。
windbg查看: dt nt!_eprocss dt _kprocess
!process 0 0 可以查看所有的进程信息。.process + 进程地址 可将当前进程切换至该进程。
windows 还有一种受保护的进程。这种进程可以拒绝管理员的一些访问权限。收保护的进程是通过标记eprocss 结构的标记位来区分的。
所以可以通过禁用标记位来加载一下额内核模式的驱动程序。
时间: 2024-10-10 10:36:23