Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。

比如查看系统中的所有进程:

lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_EPROCESS, ActiveProcessLinks))" poi(nt!PsActiveProcessHead)

+0x084 UniqueProcessId : 0x00000004
   +0x174 ImageFileName   : [16]  "System"

+0x084 UniqueProcessId : 0x00000270
   +0x174 ImageFileName   : [16]  "SMSS.EXE"

+0x084 UniqueProcessId : 0x000002ac
   +0x174 ImageFileName   : [16]  "CSRSS.EXE"

+0x084 UniqueProcessId : 0x000002c4
   +0x174 ImageFileName   : [16]  "WINLOGON.EXE"

+0x084 UniqueProcessId : 0x000002f0
   +0x174 ImageFileName   : [16]  "SERVICES.EXE"

+0x084 UniqueProcessId : 0x00000314
   +0x174 ImageFileName   : [16]  "LSASS.EXE"

+0x084 UniqueProcessId : 0x000003a4
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000003f8
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000005ec
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x00000658
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000006f0
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000000c8
   +0x174 ImageFileName   : [16]  "SPOOLSV.EXE"

+0x084 UniqueProcessId : 0x00000298
   +0x174 ImageFileName   : [16]  "MDM.EXE"

+0x084 UniqueProcessId : 0x00000484
   +0x174 ImageFileName   : [16]  "WGATRAY.EXE"

+0x084 UniqueProcessId : 0x00000494
   +0x174 ImageFileName   : [16]  "EXPLORER.EXE"

+0x084 UniqueProcessId : 0x0000056c
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000005d4
   +0x174 ImageFileName   : [16]  "vmware-authd.ex"

+0x084 UniqueProcessId : 0x000006b0
   +0x174 ImageFileName   : [16]  "VMOUNT2.EXE"

+0x084 UniqueProcessId : 0x00000700
   +0x174 ImageFileName   : [16]  "VMNAT.EXE"

+0x084 UniqueProcessId : 0x000007a8
   +0x174 ImageFileName   : [16]  "VMNETDHCP.EXE"

+0x084 UniqueProcessId : 0x00000448
   +0x174 ImageFileName   : [16]  "HKCMD.EXE"

+0x084 UniqueProcessId : 0x000004dc
   +0x174 ImageFileName   : [16]  "IGFXPERS.EXE"

+0x084 UniqueProcessId : 0x00000578
   +0x174 ImageFileName   : [16]  "SOUNDMAN.EXE"

+0x084 UniqueProcessId : 0x00000590
   +0x174 ImageFileName   : [16]  "daemon.exe"

......

如果需要执行多条命令,则把每条命令用分号隔开,把 !list 命令的整个参数用双引号括起来。

详情 jpg 转 rar

[分享]方便的 windbg 命令 - !list的更多相关文章

  1. 分享一个常用Adb命令

    分享一个常用Adb命令 首先 首先感谢@xuxu的常用adb命令,收益良多,但是已经不能满足于我,所以补充了下. 再者 好久没发帖了,最近论坛老司机们都在讨论/总结,我就用这个干货回报吧. 最后 基于 ...

  2. WinDbg 命令三部曲:(一)WinDbg 命令手册

    本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDb ...

  3. WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册

    本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDb ...

  4. WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册

    本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDb ...

  5. windbg命令学习3

    3.进程与线程: 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息.调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺. 3.1. 进程命令 进程命令包括以下:显示进程 ...

  6. WinDbg 命令手册

    WinDbg 命令三部曲:(一)WinDbg 命令手册   本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部 ...

  7. WinDbg命令三部曲

    WinDbg 命令三部曲:(一)WinDbg 命令手册 WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册 WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册

  8. [日期工具分享][Shell]为特定命令依次传入顺序日期执行

    [日期工具分享][Shell]为特定命令依次传入顺序日期执行 使用方式: <本脚本文件名(必要时需要全路径)> <要执行的命令所在的文件名> <开始日期> < ...

  9. Windbg命令脚本流程控制语句详解

    在Windbg命令脚本一文里,我们介绍了命令脚本语言的的组成要素,在本文里将对语句进行展开的讲解.这些语句主要是流程控制的语句,比如我们常见的条件分子和循环语句等. ; (命令分隔符) 分号(:)字符 ...

随机推荐

  1. Kettle转换或作业乱码

    结果这样做还是乱码,其实这和

  2. Qt5 can't find -LGL

    一周前新建了一个有关Ubuntu QT5 的虚拟机开发环境,在官网上下载了一个完整的run包,然后编译的时候发现如下错误 can't find -LGL 解决方式: sudo apt-get inst ...

  3. linux并发concurrency控制

    解决竞态(race conditions)最根本的途径是对共享资源的互斥访问,访问共享资源的代码区被称为临界区(critical sections),对临界区的代码需要以某种互斥机制加以保护.常见的互 ...

  4. [转]RosBridge小结

    1.rosbridge介绍 rosbridge(rosbridge_suite)是ros官方为开发者提供的一个用于非ros系统和ros系统进行交互通信的功能包.rosbridge主要包含两个部分,Ro ...

  5. [转]ListView学习笔记(二)——ViewHolder

    在android开发中Listview是一个很重要的组件,它以列表的形式根据数据的长自适应展示具体内容,用户可以自由的定义listview每一列的布局,但当listview有大量的数据需要加载的时候, ...

  6. Codeforces 558C Amr and Chemistry 暴力 - -

    点击打开链接 Amr and Chemistry time limit per test 1 second memory limit per test 256 megabytes input stan ...

  7. c#生成rsa公钥和私钥

    c#生成rsa公钥和私钥的类库,包括加密解密,可以用在网站和winform项目 源码地址: http://download.csdn.net/detail/jine515073/8383809

  8. 解决Spring框架的Dao层改用@Repository注解,无法使用JdbcDaoSupport的问题

    解决Spring框架的Dao层改用@Repository注解,无法使用JdbcDaoSupport的问题 Alternatively, create an own implementation of ...

  9. jquery easyui datagrid 分页实现

    通常情况下页面数据的分页显示分成真假两种.真分页是依靠后台查询时控制调出数据的数量来实现分页,也就是说页面在后台对数据进行处理,仅传输当前需要页的数据到前台来显示.而假分页则是后台一次性将所有的数据一 ...

  10. [oracle] 如何使用myBatis在数据库中插入数据并返回主键

    在MyBatis中,希望在Oracle中插入数据的同时返回主键值,而非插入的条数. ① oracle使用 selectKey. U_USER_INFO_SEQ 是在数据库中定义好的这张表关联的序列se ...