커널모드에 있는 ETHREAD와 유저 모드에서 돌아가는 KTHREAD에 대해서 한번 알아보겠다. 스레드 구조체는 ETHREAD에 정의 되어 있는데, Windbg에서 dt _ETHREAD, dt_KTHREAD를 입력하면 구조체에 대한 정보를 알 수 있다. ETHREAD에서 알 수 있는 주요 정보는 아래와 같다. 그럼 이제 Windbg로 전체 구조체를 확인해보자. Tcb : 스레드 동기화 개체 CreateTime : 스레드 생성 시간 ExitTime : 스레드 종료 시간 PostBlockList : 현 스레드가 참조하는 모든 오브젝트 목록 Cid : 프로세스와 스레드 id 확인 가능 IrpList : 현 스레드에서 실행중인 IRP 리스트 StartAddress : 실제 스레드 시작 주소 Win32StartA..
