图解windbg查看Win7结构体

http://blog.csdn.net/wxqian25/article/details/18406635

首先用windbg打开notepad.exe；

dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。

下面用dt命令查看Win7结构体；

查看peb结构；

查看eprocess结构；

查看特定地址的eprocess结构内容;

*是通配符；显示所有peb打头的结构体名称；

枚举ntkrnlmp中带"Object"的结构体名称；

没有，本机记事本没载入ntkrnlmp模块；

lm列出所有模块看下；

下面命令会列出ntdll中的全部结构体，导出的函数名也会列出；见下面二图；

下面命令将列出kernel32导出的文件操作相关的函数名；

查看security_attributes结构体；为何看不到呢；

看前面的lm命令列出的模块列表；

只有ntdll显示pdb symbols，其他模块显示deferred；这是啥情况，不太清楚；下次再搞；

查看teb结构体；

列举kernel32中的结构体，没列出；

列出ntdll中的结构体；

lmf命令列出模块，以及对应的文件名；