PROCESS 81a979d0  SessionId: 0  Cid: 0210    Peb: 7ffda000  ParentCid: 063cDirBase: 145b9000  ObjectTable: e12fed70  HandleCount:  53.Image: Dbgview.exe

1. PROCESS 81a979d0

• 意義：PROCESS 是該進程對象的內核地址。
• 用途：可以使用這個地址獲取更多信息，例如通過 dt _EPROCESS <地址> 查看 _EPROCESS 結構。

2. SessionId: 0

• 意義：進程所屬的會話 ID。
• 說明：
  • 會話 是一種隔離機制，每個會話代表一個登錄用戶的環境。
  • Session 0 通常用于系統服務和核心進程。

3. Cid: 0210

• 意義：Client ID，表示進程 ID（PID）。
• 說明：可以通過 !handle 或任務管理器等工具找到對應的進程。

4. Peb: 7ffda000

• 意義：進程環境塊（Process Environment Block，PEB）的用戶模式地址。
• 說明：PEB 存儲了與進程相關的全局信息（例如模塊列表、環境變量等）。
• 查看：可以通過以下命令進一步查看 PEB 信息：

  dt _PEB 7ffda000
  

5. ParentCid: 063c

• 意義：父進程的 Cid，即父進程的 PID。
• 說明：可以根據此值追溯該進程的父進程。

6. DirBase: 145b9000

• 意義：頁目錄基址（CR3 的值）。
• 說明：
  • 在內核模式下，操作系統通過 DirBase 查找頁表。
  • 可用于調試進程的虛擬地址到物理地址的映射。

7. ObjectTable: e12fed70

• 意義：進程的對象表地址。
• 說明：
  • 對象表存儲了該進程打開的所有內核對象句柄。
  • 可以通過 !handle 命令查看句柄列表：

    !handle 0 0 <PROCESS 地址>

8. HandleCount: 53

• 意義：當前進程打開的句柄數量。
• 說明：反映了進程當前使用的內核資源數量。

9. Image: Dbgview.exe

• 意義：進程的可執行文件名。
• 說明：表示運行的用戶模式程序名。