进程
| 命令 | 作用 |
|---|---|
| !process 0 0 | 查看所有进程信息 |
| !process -1 1 | 查看当前进程信息 |
| !process 0 0 test.exe | 查看指定进程名信息 |
| !process 0 7 | 查看进程详细信息 |
| .process /p EPROCESS | 切入进程上下文 |
线程
| 命令 | 作用 |
|---|---|
| ~* | 显示所有线程 |
| ~. | 显示当前活动线程 |
| ~# | 显示当前异常线程 |
| ~ num | 显示第num个线程. |
| ~ num s | 切换到第num个线程 |
| ~*kb | 显示所有线程的栈 |
| ~# | 显示当前异常线程 |
| .thread ETHREAD | 切入线程上下文 |