废话就不多说了,开始。。。
windows内核中大批的数据结构应用了双向表链。
如果能查看个每表链的素元,甚是美哉。
windbg就给我们供给了这么好用的功能。
!list命令是一个用来查看表链的命令,该功能非常大强并且易于应用。
上面我们就用例子来看一下!list命令的用法
应用!list遍历活动进程的进程Id和进程名
活动进程表链节点在EPROCESS中德移偏
+0x088 ActiveProcessLinks : _LIST_ENTRY
遍历活动进程列表
lkd> !list -t nt!_LIST_ENTRY.FLink -e -x "dt nt!_eprocess UniqueProcessId ImageFileName @$extret-88" nt!PsActiveProcessHead dt nt!_eprocess UniqueProcessId ImageFileName @$extret-88 +0x084 UniqueProcessId : 0x8055d0c0 Void +0x174 ImageFileName : [16] "???" dt nt!_eprocess UniqueProcessId ImageFileName @$extret-88 +0x084 UniqueProcessId : 0x00000004 Void +0x174 ImageFileName : [16] "System" dt nt!_eprocess UniqueProcessId ImageFileName @$extret-88 +0x084 UniqueProcessId : 0x00000324 Void +0x174 ImageFileName : [16] "smss.exe" dt nt!_eprocess UniqueProcessId ImageFileName @$extret-88 +0x084 UniqueProcessId : 0x00000388 Void +0x174 ImageFileName : [16] "csrss.exe" dt nt!_eprocess UniqueProcessId ImageFileName @$extret-88 +0x084 UniqueProcessId : 0x000003a4 Void +0x174 ImageFileName : [16] "winlogon.exe" dt nt!_eprocess UniqueProcessId ImageFileName @$extret-88 +0x084 UniqueProcessId : 0x000003d0 Void +0x174 ImageFileName : [16] "services.exe" dt nt!_eprocess UniqueProcessId ImageFileName @$extret-88 +0x084 UniqueProcessId : 0x000003dc Void +0x174 ImageFileName : [16] "lsass.exe" dt nt!_eprocess UniqueProcessId ImageFileName @$extret-88 +0x084 UniqueProcessId : 0x00000e9c Void +0x174 ImageFileName : [16] "windbg.exe"
应用!list 查看windbg.exe的线程列表
先取获windbg.exe的EPROCESS的对象针指
lkd> !process 0 0 windbg.exe
PROCESS 893813c0 SessionId: 0 Cid: 0e9c Peb: 7ffdc000 ParentCid: 0798
DirBase: 09f60380 ObjectTable: e179f950 HandleCount: 87.
Image: windbg.exe
取获windbg.exe的线程列表
线程表链在EPROCESS中德移偏:
+0x190 ThreadListHead : _LIST_ENTRY
线程链节点在ETHread中德移偏:
+0x22c ThreadListEntry : _LIST_ENTRY
查看线程列表
lkd> !list -t nt!_LIST_ENTRY.FLink -x "dt nt!_ETHREAD Cid Cid. @$extret-0x22c" 893813c0+0x190
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : (null)
+0x004 UniqueThread : (null)
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : 0x00000e9c Void
+0x004 UniqueThread : 0x00000ea4 Void
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : 0x00000e9c Void
+0x004 UniqueThread : 0x00000f38 Void
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : 0x00000e9c Void
+0x004 UniqueThread : 0x00000a90 Void
!list中处置多条命令
如果要在-x面后的命令字符串中处置多条命令,请应用“”把!list命令参数括起来。
lkd> !list "-t nt!_LIST_ENTRY.FLink -x \"r @$t1=@$extret-0x22c; dt nt!_ETHREAD Cid Cid. @$t1; dt nt!_ETHREAD Win32StartAddress @$t1;\" 893813c0+0x190"
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : (null)
+0x004 UniqueThread : (null)
+0x228 Win32StartAddress : (null)
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : 0x00000e9c Void
+0x004 UniqueThread : 0x00000ea4 Void
+0x228 Win32StartAddress : 0x01058c77 Void
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : 0x00000e9c Void
+0x004 UniqueThread : 0x00000f38 Void
+0x228 Win32StartAddress : 0x0102b590 Void
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : 0x00000e9c Void
+0x004 UniqueThread : 0x00000bb4 Void
+0x228 Win32StartAddress : (null)
#CONTAINING_RECORD宏的应用
由于@$extret-0x22c不直观,可以@@(#CONTAINING_RECORD(@$extret, nt!_ETHREAD, ThreadListEntry))来等价替换。
lkd> !list -t nt!_LIST_ENTRY.FLink -x "dt nt!_ETHREAD Cid Cid. @@(#CONTAINING_RECORD(@$extret, nt!_ETHREAD, ThreadListEntry))" 893813c0+0x190
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : (null)
+0x004 UniqueThread : (null)
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : 0x00000e9c Void
+0x004 UniqueThread : 0x00000ea4 Void
+0x1ec Cid : _CLIENT_ID
+0x000 UniqueProcess : 0x00000e9c Void
+0x004 UniqueThread : 0x00000f38 Void
以上结果基于windows xp sp3 统系示展。
转载请注明出处。ddlx studio。点点灵犀。 http://blog.csdn.net/sunyikuyu
文章结束给大家分享下程序员的一些笑话语录:
雅虎最擅长的不是开通新业务,是关闭旧业务。