1.管理员权限启动windbg，ctrl + k --> Local

2. 启动计算器

3. !process 0 0                    列出系统内的所有进程

4. dt _EPROCESS 88270030            (查看calc.exe 的EPROCESS结构)

5.!process 88270030          (查看calc.exe 的关键信息)

6. !token b1430a38         (查看calc.exe 的token信息)

7.查看peb （内核模式下，先设置隐式进程）

    .process 88270030                   （设置calc.exe 为隐式进程）

   

   dt _PEB 7ffde000                      （查看calc.exe peb）

   

8.!handle                       （查看calce.exe 句柄表 在calce.exe 进程环境）

.