父进程号为 3009 ...

转自：http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html 在调试一些病毒程序的时候，可能会碰到一些反调试技术，也就是说，被调试的程序可以检测到自己是否被调试器附加了，如果探知自己正在被调试，肯定是 ...

PEB ：进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处，且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址 peb ...

父进程 在计算机领域，父进程（ 英语：Parent Process）指已创建一个或多个子进程的进程。 UNIX 在UNIX里，除了进程0（即PID=0的交换进程，Swapper Process）以外的所有进程都是由其他进程使用系统调用 ...

...

枚举进程模块的方法有很多种，常见的有枚举PEB和内存搜索法，今天，先来看看实现起来最简单的枚举PEB实现获取进程模块列表。 首先，惯例是各种繁琐的结构体定义。需要包含 ntifs.h 和 WinDef.h, 此处不再列出，各位看官根据情况自行添加 ...

转自：如何查找僵尸进程并Kill之，杀不掉的要查看父进程并杀之 用ps和grep命令寻找僵尸进程#ps -A -ostat,ppid,pid,cmd | grep -e '^[Zz]'命令注解：-A 参数列出所有进程-o 自定义输出字段 我们设定显示字段为 stat（状态 ...

如果你对代码段、数据段、栈、堆存放哪些数据还不是很清楚，请先看我写和Linux 内存管理。 有时会出现父子进程变量的地址一样，但值不一样。看下面代码： 输出： 子进程中str=bsd子进程中str指向的首地址:bfc224dc父进程中str=asd父进程中str指向的首地址 ...