網上提得較多的是 2K/XP 的句柄表,以及句柄分配算法。其中 Win2K 的句柄表在 _EPROCESS + 0x128 處,WinXP 在 _EPROCESS + 0x0c4 處。Vista 和 Win7 找遍了 Internet 沒找到,于是只好下載符號表,裝系統自己找。其實也就 dt _EPROCESS 一下了。Vista 在 _EPROCESS + 0x0dc 處,Win7 在 _EPROCESS + 0x0f4 處。以上均是 32 位系統下的地址。句柄分配算法在 Vista 和 Win7 中都沒有變化,和 XP 一樣(至少我的測試結果是這樣的)。
小記一筆。明天繼續看 64 位的。
==================================================
WinXP x64: 0x158
Vista x64: 0x160
Win7 x64: 0x200
posted on 2009-11-17 19:18
溪流 閱讀(798)
評論(0) 編輯 收藏 引用 所屬分類:
Windows