pjf老大真是牛人，敬仰啊:D
推荐几本这方面的书吧，偶也想闭门修炼了 :(

真高兴得到pif老大的亲自指点;)，不过我的道行有限，所以也没有完全弄明白。

OK，先不管这些问题了，问另外一些问题吧，好不容易有这种机会，要好好利用一下:D:D:D

在Ring0中，FS指向一个PCR（Processsor Control Region）结构，我想知道的是PCR、NIB（or TIB ?）、KTHREAD、ETHREAD、KPROCESS、EPROCESS这些结构是如何关联在一起的？？？比如“EPROCESS的???偏移处指向KPROCESS结构”等等这些东西。

我在网上倒是搜索到了一大把有关这些结构的定义，不过它们之间看起来相差好大，我反而被弄得糊涂了 :(

 

EPROCESS的开头部分就是KPROCESS，名字上的所区别可以表明二者的主要定义与使用者的不同：K***意为微内核使用（kernel），在调度等代码使用，所需结构简单，只要一部分；E***意为执行体使用，需要额外的部分，比如活动进程链供任务枚举。KTHREAD、KTHREAD类似。至于ETHREAD、EPROCESS的联系，你有结构定义很容易看到。
次重要的还有TEB/PEB，ETHREAD/EPROCESS等中什么指向它们等等不多说了，你仔细看看应该很容易发现。

[编辑 -  6/15/03 by  pjf]

推荐几本这方面的书吧，偶也想闭门修炼了 :(  

softice/windbg+windows :D

先给分，要是以后有问题，再去骚扰你:D:D:D

[quote]推荐几本这方面的书吧，偶也想闭门修炼了 :(  

softice/windbg+windows :D [/quote]
:o :o :o