经过分析,我了解到即使_KPROCESS对象也可以是ActiveProcessLinks列表的成员. _EPROCESS和_KPROCESS对象有什么区别?何时创建一个而不创建一个?它们之间有什么概念上的区别?
看看这里:
原文链接:https://www.f2er.com/windows/364149.htmlhttp://channel9.msdn.com/Shows/Going+Deep/Arun-Kishan-Process-Management-in-Windows-Vista
EPROCESS是与用户模式中的PEB等效的内核模式.更多细节可以在this document Alex Ionescu的网站上找到,以及the book by Schreiber和其他有关NT内部的书籍.
在WinDbg中使用dt来了解它们的外观.
