PEB TEB EPROCESS ...

http://egloos.zum.com/anster/v/2128538 

EPROCESS 내부에는 KPROCESS를 포함한다.

ETHREAD  내부에는 KTHREAD를 포함한다.

EPROCESS 는 프로세스 정보를 포함한다. 스레드 개수만큼 ETHREAD가 존재한다.

유저 메모리에서 커널에 접근할 수 있도록 만들어 놓은 것이다. 커널 권한을 아무한테나 줄 수 없으니 관리를 편리하게 하기위해서 만든  것이다.

 

 

 

PEB를 살펴보면,

진하게 표시된 부분들은 링크드 리스트 형태로 DLL을 저장하고 있다.

 

TIB,TEB를 살펴보면,

0x18은 자기자신을 가리키고 
0x0은 예외 SEH이며
0x04와 0x08은 스택의 시작과 끝을 가리키고 있다.
등등 필요할 때마다 찾아서 보면 된다.