PROCESS 81a979d0  SessionId: 0  Cid: 0210    Peb: 7ffda000  ParentCid: 063cDirBase: 145b9000  ObjectTable: e12fed70  HandleCount:  53.Image: Dbgview.exe

1. PROCESS 81a979d0

• 意义：PROCESS 是该进程对象的内核地址。
• 用途：可以使用这个地址获取更多信息，例如通过 dt _EPROCESS <地址> 查看 _EPROCESS 结构。

2. SessionId: 0

• 意义：进程所属的会话 ID。
• 说明：
  • 会话 是一种隔离机制，每个会话代表一个登录用户的环境。
  • Session 0 通常用于系统服务和核心进程。

3. Cid: 0210

• 意义：Client ID，表示进程 ID（PID）。
• 说明：可以通过 !handle 或任务管理器等工具找到对应的进程。

4. Peb: 7ffda000

• 意义：进程环境块（Process Environment Block，PEB）的用户模式地址。
• 说明：PEB 存储了与进程相关的全局信息（例如模块列表、环境变量等）。
• 查看：可以通过以下命令进一步查看 PEB 信息：

  dt _PEB 7ffda000
  

5. ParentCid: 063c

• 意义：父进程的 Cid，即父进程的 PID。
• 说明：可以根据此值追溯该进程的父进程。

6. DirBase: 145b9000

• 意义：页目录基址（CR3 的值）。
• 说明：
  • 在内核模式下，操作系统通过 DirBase 查找页表。
  • 可用于调试进程的虚拟地址到物理地址的映射。

7. ObjectTable: e12fed70

• 意义：进程的对象表地址。
• 说明：
  • 对象表存储了该进程打开的所有内核对象句柄。
  • 可以通过 !handle 命令查看句柄列表：

    !handle 0 0 <PROCESS 地址>

8. HandleCount: 53

• 意义：当前进程打开的句柄数量。
• 说明：反映了进程当前使用的内核资源数量。

9. Image: Dbgview.exe

• 意义：进程的可执行文件名。
• 说明：表示运行的用户模式程序名。