CreateProcessInfo结构:

typedef struct _CREATE_PROCESS_DEBUG_INFO {

HANDLE hFile;

HANDLE hProcess;

HANDLE hThread;

LPVOID lpBaseOfImage;

DWORD dwDebugInfoFileOffset;

DWORD nDebugInfoSize;

LPVOID lpThreadLocalBase;

LPTHREAD_START_ROUTINE lpStartAddress;

LPVOID lpImageName; WORD fUnicode;

} CREATE_PROCESS_DEBUG_INFO,

*LPCREATE_PROCESS_DEBUG_INFO;

对应的调试消息CREATE_PROCESS_DEBUG_EVENT.

CreateProcessInfo.hFile:被调试进程的EXE文件被映射到内存中的内存文件映射句柄,可以

通过打开这个句柄(用OpenFileMapping和MapViewOfFile)来读取此EXE文件的相关信息.如引入

引出表等.

CreateProcessInfo.hProcess:被调试进程的进程句柄,如果要使用ReadProcessMemory和Wri

teProcessMemory等函数来修改被调试进程,就需要用到这个句柄,可以用一个变量保存起来供

以后使用.

CreateProcessInfo.hThread:主线程句柄.

CreateProcessInfo.lpBaseOfImage:可执行文件被装载到虚似地址空间中的基址.

CreateProcessInfo.dwDebugInfoFileOffset:调试信息在可执行文件中的偏移地址(一般为0

,即没有调试信息).

CreateProcessInfo.nDebugInfoSize:调试信息的长度.

CreateProcessInfo.lpThreadLocalBase:主线程基址.

CreateProcessInfo.lpStartAddress:主线程的线程函数地址.

CreateProcessInfo.lpImageName:文件映像名,注意这是一个RVA地址(相对虚拟地址).

CreateProcessInfo.fUnicode:如果此值大于0,则lpImageName指向的文件名为UNICODE码.