Condividi tramite

!peb

  • Articolo

L'estensione !peb visualizza una visualizzazione formattata delle informazioni nel blocco di ambiente del processo (PEB).

!peb [PEB-Address]

Parametri

INDIRIZZO PEB
Indirizzo esadecimale del processo di cui si vuole esaminare IL PEB. Questo non è l'indirizzo del PEB come derivato dal blocco di processo del kernel per il processo. Se PEB-Address viene omesso in modalità utente, viene utilizzato il PEB per il processo corrente. Se viene omesso in modalità kernel, viene visualizzato il PEB corrispondente al contesto del processo corrente.

DLL

Exts.dll

Informazioni aggiuntive

Per informazioni sui blocchi di ambiente di processo, vedere Microsoft Windows Internals di Mark Russinovich e David Solomon.

Osservazioni:

PEB è la parte in modalità utente delle strutture di controllo del processo di Microsoft Windows.

Se l'estensione !peb senza argomenti restituisce un errore in modalità kernel, è necessario usare l'estensione !process per determinare l'indirizzo PEB per il processo desiderato. Assicurarsi che il contesto del processo sia impostato sul processo desiderato e quindi usare l'indirizzo PEB come argomento per !peb.

L'output esatto visualizzato dipende dalla versione di Windows e dal fatto che si stia eseguendo il debug in modalità kernel o utente. L'esempio seguente è tratto da un debugger del kernel collegato a una destinazione windows Server 2003:

kd> !peb
PEB at 7ffdf000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            No
    ImageBaseAddress:         4ad00000
    Ldr                       77fbe900
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 00241ef8 . 00242360
    Ldr.InLoadOrderModuleList:           00241e90 . 00242350
    Ldr.InMemoryOrderModuleList:         00241e98 . 00242358
            Base TimeStamp                     Module
        4ad00000 3d34633c Jul 16 11:17:32 2002 D:\WINDOWS\system32\cmd.exe
        77f40000 3d346214 Jul 16 11:12:36 2002 D:\WINDOWS\system32\ntdll.dll
        77e50000 3d3484ef Jul 16 13:41:19 2002 D:\WINDOWS\system32\kernel32.dll
....
    SubSystemData:     00000000
    ProcessHeap:       00140000
    ProcessParameters: 00020000
    WindowTitle: "'D:\Documents and Settings\Administrator\Desktop\Debuggers.lnk'"
    ImageFile:    'D:\WINDOWS\system32\cmd.exe'
    CommandLine:  '"D:\WINDOWS\system32\cmd.exe" '
    DllPath:      'D:\WINDOWS\system32;D:\WINDOWS\system32;....
    Environment:  00010000
        ALLUSERSPROFILE=D:\Documents and Settings\All Users
        APPDATA=D:\Documents and Settings\UserTwo\Application Data
        CLIENTNAME=Console
....
        windir=D:\WINDOWS

L'estensione !teb simile visualizza il blocco di ambiente thread.