!peb
简介
!peb显示进程环境块(PEB)中信息的格式化视图。
使用形式
!peb [PEB-Address]
参数
- PEB-Address
要检查其PEB的进程的十六进制地址。(这不是从进程的内核进程块派生的PEB地址。)如果在用户模式中省略PEB地址,则使用当前进程的PEB。如果在内核模式下忽略它,则显示与当前进程上下文相对应的PEB。
支持环境
Windows 2000 |
Kdextx86.dll Ntsdexts.dll |
Windows XP 及更高版本 |
Exts.dll |
备注
PEB是Microsoft Windows进程控制结构的用户模式部分。
如果!peb扩展没有参数时在内核模式下会给您一个错误,您应该使用!process 的进程扩展用于确定所需进程的PEB地址。确保您的进程上下文设置为所需的进程,然后使用PEB地址作为参数。
显示的确切输出取决于Windows版本以及您是在内核模式还是用户模式下进行调试。以下示例取自附加到Windows Server 2003目标的内核调试器:
kd> !peb
PEB at 7ffdf000
InheritedAddressSpace: No
ReadImageFileExecOptions: No
BeingDebugged: No
ImageBaseAddress: 4ad00000
Ldr 77fbe900
Ldr.Initialized: Yes
Ldr.InInitializationOrderModuleList: 00241ef8 . 00242360
Ldr.InLoadOrderModuleList: 00241e90 . 00242350
Ldr.InMemoryOrderModuleList: 00241e98 . 00242358
Base TimeStamp Module
4ad00000 3d34633c Jul 16 11:17:32 2002 D:WINDOWSsystem32cmd.exe
77f40000 3d346214 Jul 16 11:12:36 2002 D:WINDOWSsystem32
tdll.dll
77e50000 3d3484ef Jul 16 13:41:19 2002 D:WINDOWSsystem32kernel32.dll
....
SubSystemData: 00000000
ProcessHeap: 00140000
ProcessParameters: 00020000
WindowTitle: 'D:Documents and SettingsAdministratorDesktopDebuggers.lnk'
ImageFile: 'D:WINDOWSsystem32cmd.exe'
CommandLine: '"D:WINDOWSsystem32cmd.exe" '
DllPath: 'D:WINDOWSsystem32;D:WINDOWSsystem32;....
Environment: 00010000
ALLUSERSPROFILE=D:Documents and SettingsAll Users
APPDATA=D:Documents and SettingsUserTwoApplication Data
CLIENTNAME=Console
....
windir=D:WINDOWS