Re: 读取进程句柄表
Windows内核调试
读取进程句柄表
guozf
2009-12-23, 10:32 上午
请教一个问题:
每个进程都有一个句柄表。这个句柄表是位于哪里,用户空间还是内核空间。
如果是位于用户空间,我猜测是否可以由进程的PEB里某一个field来获得。
如果是位于内核空间,我猜测是否可以由进程的EPROCESS里某一个field来获得。
Re: 读取进程句柄表
guozf
2009-12-23, 10:43 上午
另外,如何用WinDbg来读取呢,请指教?
Re: 读取进程句柄表
MJ0011
2009-12-24, 11:08 上午
内核空间,EProcess->ObjectTable
windbg:!handle
Re: 读取进程句柄表
Forward
2009-12-25, 16:44 下午
在内核控件中。
输入lkd> dt _eprocess
。。。
+0x0c4 ObjectTable : Ptr32 _HANDLE_TABLE
。。。
Re: 读取进程句柄表
sctianhu
2010-01-14, 17:36 下午
请问,一般情况,什么时候会需要查看到这 句柄表 呢.
能举例一个或两个吗?
谢谢!
IBM内存详解: http://www.ibm.com/developerworks/cn/java/j-nativememory-linux/