!peb

简介

!peb显示进程环境块(PEB)中信息的格式化视图。

使用形式

!peb [PEB-Address]

参数

  • PEB-Address
    要检查其PEB的进程的十六进制地址。(这不是从进程的内核进程块派生的PEB地址。)如果在用户模式中省略PEB地址,则使用当前进程的PEB。如果在内核模式下忽略它,则显示与当前进程上下文相对应的PEB。

支持环境

Windows 2000

Kdextx86.dll Ntsdexts.dll

Windows XP 及更高版本

Exts.dll

备注

PEB是Microsoft Windows进程控制结构的用户模式部分。
如果!peb扩展没有参数时在内核模式下会给您一个错误,您应该使用!process 的进程扩展用于确定所需进程的PEB地址。确保您的进程上下文设置为所需的进程,然后使用PEB地址作为参数。
显示的确切输出取决于Windows版本以及您是在内核模式还是用户模式下进行调试。以下示例取自附加到Windows Server 2003目标的内核调试器:

kd> !peb

PEB at 7ffdf000

    InheritedAddressSpace:    No

    ReadImageFileExecOptions: No

    BeingDebugged:            No

    ImageBaseAddress:         4ad00000

    Ldr                       77fbe900

    Ldr.Initialized:          Yes

    Ldr.InInitializationOrderModuleList: 00241ef8 . 00242360

    Ldr.InLoadOrderModuleList:           00241e90 . 00242350

    Ldr.InMemoryOrderModuleList:         00241e98 . 00242358

            Base TimeStamp                     Module

        4ad00000 3d34633c Jul 16 11:17:32 2002 D:\WINDOWS\system32\cmd.exe

        77f40000 3d346214 Jul 16 11:12:36 2002 D:\WINDOWS\system32\ntdll.dll

        77e50000 3d3484ef Jul 16 13:41:19 2002 D:\WINDOWS\system32\kernel32.dll

....

    SubSystemData:     00000000

    ProcessHeap:       00140000

    ProcessParameters: 00020000

    WindowTitle:  'D:\Documents and Settings\Administrator\Desktop\Debuggers.lnk'

    ImageFile:    'D:\WINDOWS\system32\cmd.exe'

    CommandLine:  '"D:\WINDOWS\system32\cmd.exe" '

    DllPath:      'D:\WINDOWS\system32;D:\WINDOWS\system32;....

    Environment:  00010000

        ALLUSERSPROFILE=D:\Documents and Settings\All Users

        APPDATA=D:\Documents and Settings\UserTwo\Application Data

        CLIENTNAME=Console

....

        windir=D:\WINDOWS

WinDbg常用命令系列---!peb的更多相关文章

  1. WinDbg常用命令系列---.cmdtree

    .cmdtree 简介 使用形式 .cmdtree cmdfile 参数 cmdfile命令文件,包含多个你需要的命令.必须是一个文本档 使用步骤 1.使用命令创建文本文件test.wl,使用以下示例 ...

  2. WinDbg常用命令系列---显示段选择器dg、链接列表dl和字符串ds/dS

    dg (Display Selector) dg命令显示指定选择器的段描述符. dg FirstSelector [LastSelector] 参数: FirstSelector指定要显示的第一个选择 ...

  3. WinDbg常用命令系列---!uniqstack

    简介 这个!uniqstack扩展扩展显示的所有线程的堆栈的所有当前进程,不包括显示为具有重复项的堆栈中. 使用形式 !uniqstack [ -b | -v | -p ] [ -n ] 参数 -b将 ...

  4. WinDbg常用命令系列---.write_cmd_hist (写命令历史记录)

    .write_cmd_hist 简介 .write_cmd_hist命令将调试器命令窗口的整个历史记录写入文件. 使用形式 .write_cmd_hist Filename 参数 Filename指定 ...

  5. WinDbg常用命令系列---!teb

    !teb 简介 !teb扩展显示线程环境块(teb)中信息的格式化视图. 使用形式 !teb [TEB-Address] 参数 TEB-Address 要检查其TEB的线程的十六进制地址.(这不是从线 ...

  6. WinDbg常用命令系列---!handle

    !handle 简介 !handle扩展显示有关目标系统中一个或所有进程拥有的一个或多个句柄的信息. 使用形式 用户模式!handle [Handle [UMFlags [TypeName]]] !h ...

  7. WinDbg常用命令系列---!envvar

    !envvar 简介 !envvar扩展命令显示特定环境变量的值. 使用形式 !envvar Variable 参数 Variable指定显示其值的环境变量.变量不区分大小写. 环境 Windows ...

  8. WinDbg常用命令系列---!address

    !address 这个!address扩展命令显示有关目标进程或目标计算机使用的内存的信息. 用户模式: !address Address !address -summary !address [-f ...

  9. WinDbg常用命令系列---源代码操作相关命令

    lsf, lsf- (Load or Unload Source File) lsf和lsf-命令加载或卸载源文件. lsf Filename lsf- Filename 参数: Filename指定 ...

随机推荐

  1. go包管理

    摘自: http://blueskykong.com/2019/02/18/go-dep-1/ https://www.cnblogs.com/apocelipes/p/10295096.html#v ...

  2. 论DOM中文档和元素的位置大小属性及其区别

    element.offsetLeft/Top  获取元素相对于最近的有定位的父元素的坐标,如果没有有定位的父元素,则是文档坐标 element.scrollTop/Left 获取元素滚动卷去的距离 e ...

  3. React+SpringBoot项目部署

    静态资源访问配置 https://www.jianshu.com/p/b6e0a0df32ec https://segmentfault.com/q/1010000012240531/a-102000 ...

  4. 【SpringBoot】SpingBoot整合AOP

    https://blog.csdn.net/lmb55/article/details/82470388 [SpringBoot]SpingBoot整合AOPhttps://blog.csdn.net ...

  5. AESUtil

    AESUtil package cn.ucaner.alpaca.common.util; import sun.misc.BASE64Decoder; import sun.misc.BASE64E ...

  6. dataGridView读写文本

    constant con = new constant(); private void loadlistbox2() { dataGridView1.ColumnCount = 1; string z ...

  7. Vue 项目 VSCode 调试

    调试Vue搭建的前端项目 在项目根目录下的vue.config.js中添加: module.exports = { lintOnSave: false, //关闭eslint语法校验 //填写这部分 ...

  8. InputStream和OutputStream及相关知识汇总

    https://www.jianshu.com/p/e5bc7ea5f948 最近帮学姐写爬虫的时候遇到奇怪的问题,同样的程序在Mac上可以正常运行而在Windows上返回结果错误,最后经排查发现是L ...

  9. kthread_run

    头文件 include/linux/kthread.h 创建并启动 /** * kthread_run - create and wake a thread. * @threadfn: the fun ...

  10. 【Flask】 python学习第一章 - 5.0 模板

    jinjia2 模板 python实现 flask 内置语言  参照Djago实现  设置模板文件夹 设置模板语言 jinja2 demo6_template.html  ----> 从代码渲染 ...