cainiaocai 发表于 2011-12-22 03:50:23

KPROCESS结构成员

EPROCESS结构+0x10处,也就是KPROCESS结构中的List_Entry ProfileListHead,从数据类型List_Entry可以看出是个链表,因为

EPROCESS结构+0x88处的ActiveProcessLink链表的数据类型也是List_Entry。

ProfileListHead是什么链表,和ActiveProcessLink链表有什么区别吗?{:soso_e199:}

Tesla.Angela 发表于 2011-12-23 11:25:15

关于“ProfileListHead是什么链表”,请见这里:http://www.scribd.com/doc/36616844/14/Kernel-Process-KPROCESS(这个网站我打不开,只看到一点点:This field contains a List Entry for KPROFILE structures which describe various Kernel Profiling actions (performance timers, etc…)...)

ActiveProcessLink是目前活着的进程链表

kk1025 发表于 2013-4-10 19:31:24

Tesla.Angela 发表于 2011-12-23 11:25 static/image/common/back.gif
关于“ProfileListHead是什么链表”,请见这里:http://www.scribd.com/doc/36616844/14/Kernel-Process-KP ...

Windows Internal 的書裡也有說明
页: [1]
查看完整版本: KPROCESS结构成员