1. Узнать адрес процесса !process 0 0
2. Перейти в контекст процесса .process
3. Display PEB : !peb
Ниже пример:
kd> !process 0 0
..........................................................................................................................
PROCESS 89a377a8 SessionId: 0 Cid: 07c8 Peb: 7ffdb000 ParentCid: 041c
DirBase: 52ddc000 ObjectTable: e17023d8 HandleCount: 534.
Image: KMPlayer.exe
..........................................................................................................................
kd> .process 89a377a8
Implicit process is now 89a377a8
kd> !peb
PEB at 7ffdb000
InheritedAddressSpace: No
ReadImageFileExecOptions: No
BeingDebugged: No
ImageBaseAddress: 00400000
Ldr 00251e90
Ldr.Initialized: Yes
Ldr.InInitializationOrderModuleList: 00251f28 . 002549f0
Ldr.InLoadOrderModuleList: 00251ec0 . 002549e0
Ldr.InMemoryOrderModuleList: 00251ec8 . 002549e8
Base TimeStamp Module
400000 2a425e19 Jun 20 01:22:17 1992 C:\PROGRA~1\THEKMP~1\KMPlayer.exe
7c900000 49900b58 Feb 09 12:54:16 2009 C:\WINDOWS\system32\ntdll.dll
7c800000 49c4f502 Mar 21 16:09:06 2009 C:\WINDOWS\system32\kernel32.dll
7e360000 480381e1 Apr 14 19:10:09 2008 C:\WINDOWS\system32\user32.dll
77f10000 49007130 Oct 23 15:42:24 2008 C:\WINDOWS\system32\GDI32.dll
77dc0000 49900b58 Feb 09 12:54:16 2009 C:\WINDOWS\system32\advapi32.dll
77e70000 49e5f504 Apr 15 17:53:56 2009 C:\WINDOWS\system32\RPCRT4.dll
77fe0000 4a4334e7 Jun 25 11:27:19 2009 C:\WINDOWS\system32\Secur32.dll
77110000 480381dc Apr 14 19:10:04 2008 C:\WINDOWS\system32\oleaut32.dll
................................. куча букав ................................................
В общем, еще одно замечание. после выполнения .process вы в контексте ТОЛЬКО данного процесса, теперь надо бы вернуться обратно, т.е. надо перейти на контекст процесса System.
Вот, пожалуй, и все.
P.S. кстати, сравнивая выводы PEB & VAD можно кое-что интересное обнаружить.
Комментариев нет:
Отправить комментарий