Win7 x64下的_EPROCESS结构记录
Win7下的与Win10下的基本变化不大,无非就是个别名称结构有所小变化还多了些【斜眼笑】
ntdll!_EPROCESS
+0x000 Pcb : _KPROCESS
+0x160 ProcessLock : _EX_PUSH_LOCK
+0x168 CreateTime : _LARGE_INTEGER
+0x170 ExitTime : _LARGE_INTEGER
+0x178 RundownProtect : _EX_RUNDOWN_REF
+0x180 UniqueProcessId : Ptr64 Void
+0x188 ActiveProcessLinks : _LIST_ENTRY
+0x198 ProcessQuotaUsage : [2] Uint8B
+0x1a8 ProcessQuotaPeak : [2] Uint8B
+0x1b8 CommitCharge : Uint8B
+0x1c0 QuotaBlock : Ptr64 _EPROCESS_QUOTA_BLOCK
+0x1c8 CpuQuotaBlock : Ptr64 _PS_CPU_QUOTA_BLOCK
+0x1d0 PeakVirtualSize : Uint8B
+0x1d8 VirtualSize : Uint8B
+0x1e0 SessionProcessLinks : _LIST_ENTRY
+0x1f0 DebugPort : Ptr64 Void
+0x1f8 ExceptionPortData : Ptr64 Void
+0x1f8 ExceptionPortValue : Uint8B
+0x1f8 ExceptionPortState : Pos 0, 3 Bits
+0x200 ObjectTable : Ptr64 _HANDLE_TABLE
+0x208 Token : _EX_FAST_REF
+0x210 WorkingSetPage : Uint8B
+0x218 AddressCreationLock : _EX_PUSH_LOCK
+0x220 RotateInProgress : Ptr64 _ETHREAD
+0x228 ForkInProgress : Ptr64 _ETHREAD
+0x230 HardwareTrigger : Uint8B
+0x238 PhysicalVadRoot : Ptr64 _MM_AVL_TABLE
+0x240 CloneRoot : Ptr64 Void
+0x248 NumberOfPrivatePages : Uint8B
+0x250 NumberOfLockedPages : Uint8B
+0x258 Win32Process : Ptr64 Void
+0x260 Job : Ptr64 _EJOB
+0x268 SectionObject : Ptr64 Void
+0x270 SectionBaseAddress : Ptr64 Void
+0x278 Cookie : Uint4B
+0x27c Spare8 : Uint4B
+0x280 WorkingSetWatch : Ptr64 _PAGEFAULT_HISTORY
+0x288 Win32WindowStation : Ptr64 Void
+0x290 InheritedFromUniqueProcessId : Ptr64 Void
+0x298 LdtInformation : Ptr64 Void
+0x2a0 Spare : Ptr64 Void
+0x2a8 ConsoleHostProcess : Uint8B
+0x2b0 DeviceMap : Ptr64 Void
+0x2b8 EtwDataSource : Ptr64 Void
+0x2c0 FreeTebHint : Ptr64 Void
+0x2c8 PageDirectoryPte : _HARDWARE_PTE
+0x2c8 Filler : Uint8B
+0x2d0 Session : Ptr64 Void
+0x2d8 ImageFileName : [15] UChar
+0x2e7 PriorityClass : UChar
+0x2e8 JobLinks : _LIST_ENTRY
+0x2f8 LockedPagesList : Ptr64 Void
+0x300 ThreadListHead : _LIST_ENTRY
+0x310 SecurityPort : Ptr64 Void
+0x318 Wow64Process : Ptr64 Void
+0x320 ActiveThreads : Uint4B
+0x324 ImagePathHash : Uint4B
+0x328 DefaultHardErrorProcessing : Uint4B
+0x32c LastThreadExitStatus : Int4B
+0x330 Peb : Ptr64 _PEB
+0x338 PrefetchTrace : _EX_FAST_REF
+0x340 ReadOperationCount : _LARGE_INTEGER
+0x348 WriteOperationCount : _LARGE_INTEGER
+0x350 OtherOperationCount : _LARGE_INTEGER
+0x358 ReadTransferCount : _LARGE_INTEGER
+0x360 WriteTransferCount : _LARGE_INTEGER
+0x368 OtherTransferCount : _LARGE_INTEGER
+0x370 CommitChargeLimit : Uint8B
+0x378 CommitChargePeak : Uint8B
+0x380 AweInfo : Ptr64 Void
+0x388 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
+0x390 Vm : _MMSUPPORT
+0x418 MmProcessLinks : _LIST_ENTRY
+0x428 HighestUserAddress : Ptr64 Void
+0x430 ModifiedPageCount : Uint4B
+0x434 Flags2 : Uint4B
+0x434 JobNotReallyActive : Pos 0, 1 Bit
+0x434 AccountingFolded : Pos 1, 1 Bit
+0x434 NewProcessReported : Pos 2, 1 Bit
+0x434 ExitProcessReported : Pos 3, 1 Bit
+0x434 ReportCommitChanges : Pos 4, 1 Bit
+0x434 LastReportMemory : Pos 5, 1 Bit
+0x434 ReportPhysicalPageChanges : Pos 6, 1 Bit
+0x434 HandleTableRundown : Pos 7, 1 Bit
+0x434 NeedsHandleRundown : Pos 8, 1 Bit
+0x434 RefTraceEnabled : Pos 9, 1 Bit
+0x434 NumaAware : Pos 10, 1 Bit
+0x434 ProtectedProcess : Pos 11, 1 Bit //进程保护
+0x434 DefaultPagePriority : Pos 12, 3 Bits
+0x434 PrimaryTokenFrozen : Pos 15, 1 Bit
+0x434 ProcessVerifierTarget : Pos 16, 1 Bit
+0x434 StackRandomizationDisabled : Pos 17, 1 Bit
+0x434 AffinityPermanent : Pos 18, 1 Bit
+0x434 AffinityUpdateEnable : Pos 19, 1 Bit
+0x434 PropagateNode : Pos 20, 1 Bit
+0x434 ExplicitAffinity : Pos 21, 1 Bit
+0x438 Flags : Uint4B
+0x438 CreateReported : Pos 0, 1 Bit
+0x438 NoDebugInherit : Pos 1, 1 Bit
+0x438 ProcessExiting : Pos 2, 1 Bit
+0x438 ProcessDelete : Pos 3, 1 Bit
+0x438 Wow64SplitPages : Pos 4, 1 Bit
+0x438 VmDeleted : Pos 5, 1 Bit
+0x438 OutswapEnabled : Pos 6, 1 Bit
+0x438 Outswapped : Pos 7, 1 Bit
+0x438 ForkFailed : Pos 8, 1 Bit
+0x438 Wow64VaSpace4Gb : Pos 9, 1 Bit
+0x438 AddressSpaceInitialized : Pos 10, 2 Bits
+0x438 SetTimerResolution : Pos 12, 1 Bit
+0x438 BreakOnTermination : Pos 13, 1 Bit
+0x438 DeprioritizeViews : Pos 14, 1 Bit
+0x438 WriteWatch : Pos 15, 1 Bit
+0x438 ProcessInSession : Pos 16, 1 Bit
+0x438 OverrideAddressSpace : Pos 17, 1 Bit
+0x438 HasAddressSpace : Pos 18, 1 Bit
+0x438 LaunchPrefetched : Pos 19, 1 Bit
+0x438 InjectInpageErrors : Pos 20, 1 Bit
+0x438 VmTopDown : Pos 21, 1 Bit
+0x438 ImageNotifyDone : Pos 22, 1 Bit
+0x438 PdeUpdateNeeded : Pos 23, 1 Bit
+0x438 VdmAllowed : Pos 24, 1 Bit
+0x438 CrossSessionCreate : Pos 25, 1 Bit
+0x438 ProcessInserted : Pos 26, 1 Bit
+0x438 DefaultIoPriority : Pos 27, 3 Bits
+0x438 ProcessSelfDelete : Pos 30, 1 Bit
+0x438 SetTimerResolutionLink : Pos 31, 1 Bit
+0x43c ExitStatus : Int4B
+0x440 VadRoot : _MM_AVL_TABLE
+0x480 AlpcContext : _ALPC_PROCESS_CONTEXT
+0x4a0 TimerResolutionLink : _LIST_ENTRY
+0x4b0 RequestedTimerResolution : Uint4B
+0x4b4 ActiveThreadsHighWatermark : Uint4B
+0x4b8 SmallestTimerResolution : Uint4B
+0x4c0 TimerResolutionStackRecord : Ptr64 _PO_DIAG_STACK_RECORD
Win7 x64下的_EPROCESS结构记录相关推荐
- (转)完美解决中国工商银行第一代网银U盾(NETPASS)在WIN7 x64下的使用问题
http://bbs.pcbeta.com/viewthread.php?tid=591837 http://bbs.pcbeta.com/archiver/tid-591837.html 远景论坛 ...
- WIN7 X64下成功安装HP LASERJET 3015网络打印机驱动
困扰多时的在WIN7 X64下成功装上了HP LASERJET 3015的网络打印机驱动终于搞掂. 打印机:HP LASERJET 3015 server:WINXP X86 client: WIN7 ...
- Dell D630 win7 x64 下 风扇控制程序 I8kfanGUI 解决方法
Dell D630 经典商务机 打算升级win7 x64程序 内存已升级4G 遇到的问题:D630经典"显卡门"A2改良版也会出温度过高的问题!所以I8kfanGUI 是大家常用的 ...
- win7 x64下安装 KB958559 出现 0x80240037 错误解决方法(win7 x64 安装VB6、Media Studio 8)
想在win7 X64下运行以前的一些32位程序,比如 VB6 .Media Studio Pro 8 等好用的软件,之前在win7 x86下还勉强能安装运行,但是 win7 x64 下是直接连安装都安 ...
- Win7 x64下内核池溢出覆盖配额进程指针(Quota Process Pointer Overwrite)
0x0 简介 在 Win7 x64位下,内核池的头部结构如下: nt!_POOL_HEADER+0x000 PreviousSize : Pos 0, 8 Bits // 前一个内核堆块大小除以0x1 ...
- win7 X64下安装CAD 2013
环境: AMD 740 , 8G 内存 使用完整版光盘安装 win7 X64 金山毒霸新悟空Sp2.5 杀毒 第1个问题: 安装NDP40-KB2468871补丁时,进度条到头了,仍然很长时间没有结束 ...
- intel I7平台Win7 x64 下wpf、silverlight 与aero特效动画缓慢故障排除一则
*貌似是炫耀博?* 卑鄙本周新入一台 inter i7 平台 gts250 12g内存的主机 自己折腾用. win7 评分 cpu 内存7.5 显示7.9 硬盘5.8 ----------出问题了 ...
- [转载] 关于Win7 x64下过TP保护的一些思路,内核层过保护,驱动过保护
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了. 在他的教程里我学到了不少东西. 第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护.如果有讲错的地方,还望指出. ...
- 关于Win7 x64下过TP保护(内核层)(转)
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了. 在他的教程里我学到了不少东西. 第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护.如果有讲错的地方,还望指出. ...
- win7 x64下安装python-opencv 及 “not a supported wheel”解决
Windows7 x64下在已经完成安装pip和Python(3.5.2)后安装opencv的步骤: (1)下载opencv python安装文件 下载地址:http://www.lfd.uci.ed ...
最新文章
- 在巴塞罗那,华为挥别昨日 | MWC 2019
- java array 元素的位置_数据结构与算法:动态图解十大经典排序算法(含JAVA代码实现)...
- 如何计算像素当量_基于非线性标定的桥梁裂缝精确视频测量技术研究
- s5p4418 Android 4.4.2 驱动层 HAL层 服务层 应用层 开发流程记录(二 硬件抽象层HAL 第二种 ioctl操作方法)
- memcached的认识
- jquery.validate.unobtrusive的使用
- uni-app微信小程序动态样式设置;微信小程序style行内式无效;微信小程序style行内式编译报错;微信小程序:style设置样式
- Function Maps: A Flexible Representation of Maps Between Shapes
- linux 修改自动联网的配置说明
- 13.Linux/Unix 系统编程手册(上) -- 文件IO缓冲
- 拓端tecdat|R平方/相关性取决于预测变量的方差
- python Process类
- android的抓包工具,安卓Android无需ROOT的流量抓包工具:PacketCapture
- Git和Github的基本操作
- 攻防世界题库logmein
- 支付宝扫码转银行卡技术/隐藏部分卡号
- 使用Scikit-learn开启机器学习之旅
- 通信设计院,到底是干啥的?
- 微信开发与应用实验一、创建微信公众号
- matlab零序五次谐波,基于5次谐波的小电流接地系统故障选线方法仿真与分析.docx...