!teb
简介
!teb扩展显示线程环境块(teb)中信息的格式化视图。
使用形式
!teb [TEB-Address]
参数
- TEB-Address
要检查其TEB的线程的十六进制地址。(这不是从线程的内核线程块派生的TEB地址。)如果在用户模式中省略了TEB地址,则使用当前线程的TEB。如果在内核模式下省略,则显示与当前寄存器上下文相对应的TEB。
备注
TEB是Microsoft Windows线程控制结构的用户模式部分。
如果!teb扩展没有参数时,在内核模式下会给您一个错误,您应该使用!process用于确定所需线程的TEB地址。确保您的注册上下文设置为所需的线程,然后使用TEB地址作为!teb的参数。
以下是此命令在用户模式下的输出示例:
0:001> ~
0 id: 324.458 Suspend: 1 Teb 7ffde000 Unfrozen
. 1 id: 324.48c Suspend: 1 Teb 7ffdd000 Unfrozen
0:001> !teb
TEB at 7FFDD000
ExceptionList: 76ffdc
Stack Base: 770000
Stack Limit: 76f000
SubSystemTib: 0
FiberData: 1e00
ArbitraryUser: 0
Self: 7ffdd000
EnvironmentPtr: 0
ClientId: 324.48c
Real ClientId: 324.48c
RpcHandle: 0
Tls Storage: 0
PEB Address: 7ffdf000
LastErrorValue: 0
LastStatusValue: 0
Count Owned Locks:0
HardErrorsMode: 0