通过

!teb

  • 项目

!teb 扩展显示线程环境块 (TEB) 中信息的格式化视图。

!teb [TEB-Address]

\Parameters

TEB 地址
要检查其 TEB 的线程的十六进制地址。 (这不是派生自线程的内核线程块的 TEB 地址。)如果在用户模式下省略 TEB-Address,则使用当前线程的 TEB。 如果在内核模式下将其省略,则会显示与当前寄存器上下文对应的 TEB。

DLL

Exts.dll

其他信息

有关线程环境块的信息,请参阅 Mark Russinovich 和 David Solomon 编写的 Microsoft Windows 内部资料

注解

TEB 是 Microsoft Windows 线程控制结构的用户模式部分。

如果没有参数的 !teb 扩展在内核模式下显示错误,则应使用 !process 扩展来确定所需线程的 TEB 地址。 确保将寄存器上下文设置为所需的线程,然后使用 TEB 地址作为 !teb 的参数。

下面是此命令在用户模式下的输出示例:

0:001> ~
   0  id: 324.458   Suspend: 1 Teb 7ffde000 Unfrozen
.  1  id: 324.48c   Suspend: 1 Teb 7ffdd000 Unfrozen

0:001> !teb 
TEB at 7FFDD000
    ExceptionList:    76ffdc
    Stack Base:       770000
    Stack Limit:      76f000
    SubSystemTib:     0
 FiberData:        1e00
    ArbitraryUser:    0
    Self:             7ffdd000
    EnvironmentPtr:   0
 ClientId:         324.48c
    Real ClientId:    324.48c
    RpcHandle:        0
    Tls Storage:      0
    PEB Address:      7ffdf000
    LastErrorValue:   0
    LastStatusValue:  0
    Count Owned Locks:0
    HardErrorsMode:   0

类似的 !peb 扩展显示进程环境块。