EPROCESS structure
lkd> dt -b nt!_EPROCESS
+0x000 Pcb :
+0x000 Header :
+0x000 Type : UChar
+0x001 Absolute : UChar
+0x002 Size : UChar
+0x003 Inserted : UChar
+0x004 SignalState : Int4B
+0x008 WaitListHead :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x010 ProfileListHead :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x018 DirectoryTableBase : Uint4B
+0x020 LdtDescriptor :
+0x000 LimitLow : Uint2B
+0x002 BaseLow : Uint2B
+0x004 HighWord :
+0x000 Bytes :
+0x000 BaseMid : UChar
+0x001 Flags1 : UChar
+0x002 Flags2 : UChar
+0x003 BaseHi : UChar
+0x000 Bits :
+0x000 BaseMid : Pos 0, 8 Bits
+0x000 Type : Pos 8, 5 Bits
+0x000 Dpl : Pos 13, 2 Bits
+0x000 Pres : Pos 15, 1 Bit
+0x000 LimitHi : Pos 16, 4 Bits
+0x000 Sys : Pos 20, 1 Bit
+0x000 Reserved_0 : Pos 21, 1 Bit
+0x000 Default_Big : Pos 22, 1 Bit
+0x000 Granularity : Pos 23, 1 Bit
+0x000 BaseHi : Pos 24, 8 Bits
+0x028 Int21Descriptor :
+0x000 Offset : Uint2B
+0x002 Selector : Uint2B
+0x004 Access : Uint2B
+0x006 ExtendedOffset : Uint2B
+0x030 IopmOffset : Uint2B
+0x032 Iopl : UChar
+0x033 Unused : UChar
+0x034 ActiveProcessors : Uint4B
+0x038 KernelTime : Uint4B
+0x03c UserTime : Uint4B
+0x040 ReadyListHead :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x048 SwapListEntry :
+0x000 Next : Ptr32
+0x04c VdmTrapcHandler : Ptr32
+0x050 ThreadListHead :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x058 ProcessLock : Uint4B
+0x05c Affinity : Uint4B
+0x060 StackCount : Uint2B
+0x062 BasePriority : Char
+0x063 ThreadQuantum : Char
+0x064 AutoAlignment : UChar
+0x065 State : UChar
+0x066 ThreadSeed : UChar
+0x067 DisableBoost : UChar
+0x068 PowerState : UChar
+0x069 DisableQuantum : UChar
+0x06a IdealNode : UChar
+0x06b Spare : UChar
+0x06c ProcessLock :
+0x000 Waiting : Pos 0, 1 Bit
+0x000 Exclusive : Pos 1, 1 Bit
+0x000 Shared : Pos 2, 30 Bits
+0x000 Value : Uint4B
+0x000 Ptr : Ptr32
+0x070 CreateTime :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 u :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 QuadPart : Int8B
+0x078 ExitTime :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 u :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 QuadPart : Int8B
+0x080 RundownProtect :
+0x000 Count : Uint4B
+0x000 Ptr : Ptr32
+0x084 UniqueProcessId : Ptr32
+0x088 ActiveProcessLinks :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x090 QuotaUsage : Uint4B
+0x09c QuotaPeak : Uint4B
+0x0a8 CommitCharge : Uint4B
+0x0ac PeakVirtualSize : Uint4B
+0x0b0 VirtualSize : Uint4B
+0x0b4 SessionProcessLinks :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x0bc DebugPort : Ptr32
+0x0c0 ExceptionPort : Ptr32
+0x0c4 ObjectTable : Ptr32
+0x0c8 Token :
+0x000 Object : Ptr32
+0x000 RefCnt : Pos 0, 3 Bits
+0x000 Value : Uint4B
+0x0cc WorkingSetLock :
+0x000 Count : Int4B
+0x004 Owner : Ptr32
+0x008 Contention : Uint4B
+0x00c Event :
+0x000 Header :
+0x000 Type : UChar
+0x001 Absolute : UChar
+0x002 Size : UChar
+0x003 Inserted : UChar
+0x004 SignalState : Int4B
+0x008 WaitListHead :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x01c OldIrql : Uint4B
+0x0ec WorkingSetPage : Uint4B
+0x0f0 AddressCreationLock :
+0x000 Count : Int4B
+0x004 Owner : Ptr32
+0x008 Contention : Uint4B
+0x00c Event :
+0x000 Header :
+0x000 Type : UChar
+0x001 Absolute : UChar
+0x002 Size : UChar
+0x003 Inserted : UChar
+0x004 SignalState : Int4B
+0x008 WaitListHead :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x01c OldIrql : Uint4B
+0x110 HyperSpaceLock : Uint4B
+0x114 ForkInProgress : Ptr32
+0x118 HardwareTrigger : Uint4B
+0x11c VadRoot : Ptr32
+0x120 VadHint : Ptr32
+0x124 CloneRoot : Ptr32
+0x128 NumberOfPrivatePages : Uint4B
+0x12c NumberOfLockedPages : Uint4B
+0x130 Win32Process : Ptr32
+0x134 Job : Ptr32
+0x138 SectionObject : Ptr32
+0x13c SectionBaseAddress : Ptr32
+0x140 QuotaBlock : Ptr32
+0x144 WorkingSetWatch : Ptr32
+0x148 Win32WindowStation : Ptr32
+0x14c InheritedFromUniqueProcessId : Ptr32
+0x150 LdtInformation : Ptr32
+0x154 VadFreeHint : Ptr32
+0x158 VdmObjects : Ptr32
+0x15c DeviceMap : Ptr32
+0x160 PhysicalVadList :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x168 PageDirectoryPte :
+0x000 Valid : Pos 0, 1 Bit
+0x000 Write : Pos 1, 1 Bit
+0x000 Owner : Pos 2, 1 Bit
+0x000 WriteThrough : Pos 3, 1 Bit
+0x000 CacheDisable : Pos 4, 1 Bit
+0x000 Accessed : Pos 5, 1 Bit
+0x000 Dirty : Pos 6, 1 Bit
+0x000 LargePage : Pos 7, 1 Bit
+0x000 Global : Pos 8, 1 Bit
+0x000 CopyOnWrite : Pos 9, 1 Bit
+0x000 Prototype : Pos 10, 1 Bit
+0x000 reserved : Pos 11, 1 Bit
+0x000 PageFrameNumber : Pos 12, 20 Bits
+0x168 Filler : Uint8B
+0x170 Session : Ptr32
+0x174 ImageFileName : UChar
+0x184 JobLinks :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x18c LockedPagesList : Ptr32
+0x190 ThreadListHead :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x198 SecurityPort : Ptr32
+0x19c PaeTop : Ptr32
+0x1a0 ActiveThreads : Uint4B
+0x1a4 GrantedAccess : Uint4B
+0x1a8 DefaultHardErrorProcessing : Uint4B
+0x1ac LastThreadExitStatus : Int4B
+0x1b0 Peb : Ptr32
+0x1b4 PrefetchTrace :
+0x000 Object : Ptr32
+0x000 RefCnt : Pos 0, 3 Bits
+0x000 Value : Uint4B
+0x1b8 ReadOperationCount :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 u :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 QuadPart : Int8B
+0x1c0 WriteOperationCount :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 u :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 QuadPart : Int8B
+0x1c8 OtherOperationCount :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 u :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 QuadPart : Int8B
+0x1d0 ReadTransferCount :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 u :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 QuadPart : Int8B
+0x1d8 WriteTransferCount :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 u :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 QuadPart : Int8B
+0x1e0 OtherTransferCount :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 u :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 QuadPart : Int8B
+0x1e8 CommitChargeLimit : Uint4B
+0x1ec CommitChargePeak : Uint4B
+0x1f0 AweInfo : Ptr32
+0x1f4 SeAuditProcessCreationInfo :
+0x000 ImageFileName : Ptr32
+0x1f8 Vm :
+0x000 LastTrimTime :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 u :
+0x000 LowPart : Uint4B
+0x004 HighPart : Int4B
+0x000 QuadPart : Int8B
+0x008 Flags :
+0x000 SessionSpace : Pos 0, 1 Bit
+0x000 BeingTrimmed : Pos 1, 1 Bit
+0x000 SessionLeader : Pos 2, 1 Bit
+0x000 TrimHard : Pos 3, 1 Bit
+0x000 WorkingSetHard : Pos 4, 1 Bit
+0x000 AddressSpaceBeingDeleted : Pos 5, 1 Bit
+0x000 Available : Pos 6, 10 Bits
+0x000 AllowWorkingSetAdjustment : Pos 16, 8 Bits
+0x000 MemoryPriority : Pos 24, 8 Bits
+0x00c PageFaultCount : Uint4B
+0x010 PeakWorkingSetSize : Uint4B
+0x014 WorkingSetSize : Uint4B
+0x018 MinimumWorkingSetSize : Uint4B
+0x01c MaximumWorkingSetSize : Uint4B
+0x020 VmWorkingSetList : Ptr32
+0x024 WorkingSetExpansionLinks :
+0x000 Flink : Ptr32
+0x004 Blink : Ptr32
+0x02c Claim : Uint4B
+0x030 NextEstimationSlot : Uint4B
+0x034 NextAgingSlot : Uint4B
+0x038 EstimatedAvailable : Uint4B
+0x03c GrowthSinceLastEstimate : Uint4B
+0x238 LastFaultCount : Uint4B
+0x23c ModifiedPageCount : Uint4B
+0x240 NumberOfVads : Uint4B
+0x244 JobStatus : Uint4B
+0x248 Flags : Uint4B
+0x248 CreateReported : Pos 0, 1 Bit
+0x248 NoDebugInherit : Pos 1, 1 Bit
+0x248 ProcessExiting : Pos 2, 1 Bit
+0x248 ProcessDelete : Pos 3, 1 Bit
+0x248 Wow64SplitPages : Pos 4, 1 Bit
+0x248 VmDeleted : Pos 5, 1 Bit
+0x248 OutswapEnabled : Pos 6, 1 Bit
+0x248 Outswapped : Pos 7, 1 Bit
+0x248 ForkFailed : Pos 8, 1 Bit
+0x248 HasPhysicalVad : Pos 9, 1 Bit
+0x248 AddressSpaceInitialized : Pos 10, 2 Bits
+0x248 SetTimerResolution : Pos 12, 1 Bit
+0x248 BreakOnTermination : Pos 13, 1 Bit
+0x248 SessionCreationUnderway : Pos 14, 1 Bit
+0x248 WriteWatch : Pos 15, 1 Bit
+0x248 ProcessInSession : Pos 16, 1 Bit
+0x248 OverrideAddressSpace : Pos 17, 1 Bit
+0x248 HasAddressSpace : Pos 18, 1 Bit
+0x248 LaunchPrefetched : Pos 19, 1 Bit
+0x248 InjectInpageErrors : Pos 20, 1 Bit
+0x248 Unused : Pos 21, 11 Bits
+0x24c ExitStatus : Int4B
+0x250 NextPageColor : Uint2B
+0x252 SubSystemMinorVersion : UChar
+0x253 SubSystemMajorVersion : UChar
+0x252 SubSystemVersion : Uint2B
+0x254 PriorityClass : UChar
+0x255 WorkingSetAcquiredUnsafe : UChar
