티스토리 뷰

보안/분석

struct _RTL_USER_PROCESS_PARAMETERS for XP

NineKY 2008. 3. 26. 10:38

kd> dt nt!_RTL_USER_PROCESS_PARAMETERS

   +0x000 MaximumLength    : Uint4B

   +0x004 Length           : Uint4B

   +0x008 Flags            : Uint4B

   +0x00c DebugFlags       : Uint4B

   +0x010 ConsoleHandle    : Ptr32 Void

   +0x014 ConsoleFlags     : Uint4B

   +0x018 StandardInput    : Ptr32 Void

   +0x01c StandardOutput   : Ptr32 Void

   +0x020 StandardError    : Ptr32 Void

   +0x024 CurrentDirectory : _CURDIR

   +0x030 DllPath          : _UNICODE_STRING

   +0x038 ImagePathName    : _UNICODE_STRING

   +0x040 CommandLine      : _UNICODE_STRING

   +0x048 Environment      : Ptr32 Void

   +0x04c StartingX        : Uint4B

   +0x050 StartingY        : Uint4B

   +0x054 CountX           : Uint4B

   +0x058 CountY           : Uint4B

   +0x05c CountCharsX      : Uint4B

   +0x060 CountCharsY      : Uint4B

   +0x064 FillAttribute    : Uint4B

   +0x068 WindowFlags      : Uint4B

   +0x06c ShowWindowFlags  : Uint4B

   +0x070 WindowTitle      : _UNICODE_STRING

   +0x078 DesktopInfo      : _UNICODE_STRING

   +0x080 ShellInfo        : _UNICODE_STRING

   +0x088 RuntimeData      : _UNICODE_STRING

   +0x090 CurrentDirectores : [32] _RTL_DRIVE_LETTER_CURDIR

 

>> http://msdn2.microsoft.com/en-us/library/aa813741(VS.85).aspx
typedef struct _RTL_USER_PROCESS_PARAMETERS {
  BYTE Reserved1[16];
  PVOID Reserved2[10];
  UNICODE_STRING ImagePathName;
  UNICODE_STRING CommandLine;

} RTL_USER_PROCESS_PARAMETERS,
 *PRTL_USER_PROCESS_PARAMETERS;


 

>> http://undocumented.ntinternals.net/UserMode/Structures/RTL_USER_PROCESS_PARAMETERS.html
typedef struct _RTL_USER_PROCESS_PARAMETERS {
  ULONG                   MaximumLength;
  ULONG                   Length;
  ULONG                   Flags;
  ULONG                   DebugFlags;
  PVOID                   ConsoleHandle;
  ULONG                   ConsoleFlags;
  HANDLE                  StdInputHandle;
  HANDLE                  StdOutputHandle;
  HANDLE                  StdErrorHandle;
  UNICODE_STRING          CurrentDirectoryPath;
  HANDLE                  CurrentDirectoryHandle;
  UNICODE_STRING          DllPath;
  UNICODE_STRING          ImagePathName;
  UNICODE_STRING          CommandLine;
  PVOID                   Environment;
  ULONG                   StartingPositionLeft;
  ULONG                   StartingPositionTop;
  ULONG                   Width;
  ULONG                   Height;
  ULONG                   CharWidth;
  ULONG                   CharHeight;
  ULONG                   ConsoleTextAttributes;
  ULONG                   WindowFlags;
  ULONG                   ShowWindowFlags;
  UNICODE_STRING          WindowTitle;
  UNICODE_STRING          DesktopName;
  UNICODE_STRING          ShellInfo;
  UNICODE_STRING          RuntimeData;
  RTL_DRIVE_LETTER_CURDIR DLCurrentDirectory[0x20];
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

 

'보안 > 분석' 카테고리의 다른 글

보호모드 v.s. 리얼모드 [펌 dnax.egloos.com]  (0) 2008.03.27
struct _PEB for XP  (0) 2008.03.26
Hooking functions not exported by ntoskrnl [펌 www.rootkit.com]  (0) 2008.03.25
NTSTATUS PspCreateProcess(...)  (0) 2008.03.25
NTSTATUS PsCreateSystemProcess(...)  (0) 2008.03.25
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함