网上提得较多的是 2K/XP 的句柄表,以及句柄分配算法。其中 Win2K 的句柄表在 _EPROCESS + 0x128 处,WinXP 在 _EPROCESS + 0x0c4 处。Vista 和 Win7 找遍了 Internet 没找到,于是只好下载符号表,装系统自己找。其实也就 dt _EPROCESS 一下了。Vista 在 _EPROCESS + 0x0dc 处,Win7 在 _EPROCESS + 0x0f4 处。以上均是 32 位系统下的地址。句柄分配算法在 Vista 和 Win7 中都没有变化,和 XP 一样(至少我的测试结果是这样的)。
小记一笔。明天继续看 64 位的。
==================================================
WinXP x64: 0x158
Vista x64: 0x160
Win7 x64: 0x200
posted on 2009-11-17 19:18
溪流 阅读(767)
评论(0) 编辑 收藏 引用 所属分类:
Windows