Partager via

!peb

  • Article

L’extension !peb affiche une vue mise en forme des informations dans le bloc d’environnement de processus (PEB).

!peb [PEB-Address]

Paramètres

PEB-Address
Adresse hexadécimale du processus dont vous souhaitez examiner le PEB. (Il ne s’agit pas de l’adresse du PEB comme dérivé du bloc de processus du noyau pour le processus.) Si PEB-Address est omis en mode utilisateur, le PEB du processus actuel est utilisé. Si le champ est omis en mode noyau, le PEB correspondant au contexte de processus actuel s’affiche.

DLL

Exts.dll

Informations supplémentaires

Pour plus d’informations sur les blocs d’environnement de processus, consultez Microsoft Windows Internals (Au cœur de Windows) de Mark Russinovich et David Salomon.

Notes

Le PEB est la partie en mode utilisateur des structures de contrôle de processus Microsoft Windows.

Si l’extension !peb sans argument renvoie une erreur en mode noyau, vous devez utiliser l’extension !process pour déterminer l’adresse du PEB du processus souhaité. Vérifiez que votre contexte de processus est défini sur le processus souhaité, puis utilisez l’adresse du PEB comme argument pour !peb.

La sortie exacte affichée dépend de la version de Windows du fait que vous déboguez en mode noyau ou en mode utilisateur. L’exemple suivant est extrait d’un débogueur de noyau attaché à une cible Windows Server 2003 :

kd> !peb
PEB at 7ffdf000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            No
    ImageBaseAddress:         4ad00000
    Ldr                       77fbe900
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 00241ef8 . 00242360
    Ldr.InLoadOrderModuleList:           00241e90 . 00242350
    Ldr.InMemoryOrderModuleList:         00241e98 . 00242358
            Base TimeStamp                     Module
        4ad00000 3d34633c Jul 16 11:17:32 2002 D:\WINDOWS\system32\cmd.exe
        77f40000 3d346214 Jul 16 11:12:36 2002 D:\WINDOWS\system32\ntdll.dll
        77e50000 3d3484ef Jul 16 13:41:19 2002 D:\WINDOWS\system32\kernel32.dll
....
    SubSystemData:     00000000
    ProcessHeap:       00140000
    ProcessParameters: 00020000
    WindowTitle: "'D:\Documents and Settings\Administrator\Desktop\Debuggers.lnk'"
    ImageFile:    'D:\WINDOWS\system32\cmd.exe'
    CommandLine:  '"D:\WINDOWS\system32\cmd.exe" '
    DllPath:      'D:\WINDOWS\system32;D:\WINDOWS\system32;....
    Environment:  00010000
        ALLUSERSPROFILE=D:\Documents and Settings\All Users
        APPDATA=D:\Documents and Settings\UserTwo\Application Data
        CLIENTNAME=Console
....
        windir=D:\WINDOWS

L'extension !teb similaire affiche le bloc d’environnement de thread.