Partager via

!teb

  • Article

L’extension !teb affiche une vue mise en forme des informations dans le bloc d’environnement de thread (TEB).

!teb [TEB-Address]

\Parameters

TEB-Address
Adresse hexadécimale du thread dont vous souhaitez examiner le TEB. (Il ne s’agit pas de l’adresse du TEB telle qu'elle est dérivée du bloc de thread du noyau pour le thread.) Si TEB-Address est omise en mode utilisateur, le TEB du thread actuel est utilisé. Si le TEB est omis en mode noyau, le TEB correspondant au contexte de registre actuel s’affiche.

DLL

Exts.dll

Informations supplémentaires

Pour plus d’informations sur les blocs d’environnement de thread, consultez Microsoft Windows Internals (Au cœur de Windows) de Mark Russinovich et David Solomon.

Notes

Le TEB est la partie en mode utilisateur des structures de contrôle de thread Microsoft Windows.

Si l’extension !teb sans argument renvoie une erreur en mode noyau, vous devez utiliser l’extension !process pour déterminer l’adresse du TEB du thread souhaité. Vérifiez que votre contexte de registre est défini sur le thread souhaité, puis utilisez l’adresse du TEB comme argument pour !teb.

Voici un exemple de sortie de cette commande en mode utilisateur :

0:001> ~
   0  id: 324.458   Suspend: 1 Teb 7ffde000 Unfrozen
.  1  id: 324.48c   Suspend: 1 Teb 7ffdd000 Unfrozen

0:001> !teb 
TEB at 7FFDD000
    ExceptionList:    76ffdc
    Stack Base:       770000
    Stack Limit:      76f000
    SubSystemTib:     0
 FiberData:        1e00
    ArbitraryUser:    0
    Self:             7ffdd000
    EnvironmentPtr:   0
 ClientId:         324.48c
    Real ClientId:    324.48c
    RpcHandle:        0
    Tls Storage:      0
    PEB Address:      7ffdf000
    LastErrorValue:   0
    LastStatusValue:  0
    Count Owned Locks:0
    HardErrorsMode:   0

L'extension !peb similaire affiche le bloc d’environnement du processus.