首页 > 在线阅读 > 工具免杀 > 搜索kernel32.dll:TEB与PEB之旅

搜索kernel32.dll:TEB与PEB之旅

评论等级:★★★★★ 浏览次数:0 次 更新时间:2014-03-18 12:21:47 贡献者:admin


下载本文档需要登录,并付出相应积分。

大小:499.29KB

所需积分:0 点

资 料上传

资料简介
每个Windows进程都由一个Active进程EPROCESS表示,此结构体除了包含许多与此进程相关的属性,还包含部分指向其他结构体的指针。如每个进程都存在一个或多个线程,每个线程又通过一个可执行线程ETHREAD结构体表示。EPROCESS结构体及其大多数相关的数据结构都存储在系统地址空间,唯一例外的是进程环境块PEB。因为结构体PEB一部分组件是需要用户模式访问的,故而它是系统结构群中为数不多驻留在用户空间的对象。Windows加载器、堆管理器以及子系统DLLs中使用的数据都驻留在PEB。