WinDbg 命令学习 - !list

最新推荐文章于 2022-07-18 17:06:28 发布
最新推荐文章于 2022-07-18 17:06:28 发布
阅读量889 收藏
点赞数
分类专栏: 软件调试 文章标签: Windows Windbg 调试

来自http://bbs.pediy.com/showthread.php?t=43835

Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。

比如查看系统中的所有进程:

lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_EPROCESS, ActiveProcessLinks))" poi(nt!PsActiveProcessHead)

   +0x084 UniqueProcessId : 0x00000004 
   +0x174 ImageFileName   : [16]  "System"

   +0x084 UniqueProcessId : 0x00000270 
   +0x174 ImageFileName   : [16]  "SMSS.EXE"

   +0x084 UniqueProcessId : 0x000002ac 
   +0x174 ImageFileName   : [16]  "CSRSS.EXE"

   +0x084 UniqueProcessId : 0x000002c4 
   +0x174 ImageFileName   : [16]  "WINLOGON.EXE"

   +0x084 UniqueProcessId : 0x000002f0 
   +0x174 ImageFileName   : [16]  "SERVICES.EXE"

   +0x084 UniqueProcessId : 0x00000314 
   +0x174 ImageFileName   : [16]  "LSASS.EXE"

   +0x084 UniqueProcessId : 0x000003a4 
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x000003f8 
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x000005ec 
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x00000658 
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x000006f0 
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x000000c8 
   +0x174 ImageFileName   : [16]  "SPOOLSV.EXE"

   +0x084 UniqueProcessId : 0x00000298 
   +0x174 ImageFileName   : [16]  "MDM.EXE"

   +0x084 UniqueProcessId : 0x00000484 
   +0x174 ImageFileName   : [16]  "WGATRAY.EXE"

   +0x084 UniqueProcessId : 0x00000494 
   +0x174 ImageFileName   : [16]  "EXPLORER.EXE"

   +0x084 UniqueProcessId : 0x0000056c 
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x000005d4 
   +0x174 ImageFileName   : [16]  "vmware-authd.ex"

   +0x084 UniqueProcessId : 0x000006b0 
   +0x174 ImageFileName   : [16]  "VMOUNT2.EXE"

   +0x084 UniqueProcessId : 0x00000700 
   +0x174 ImageFileName   : [16]  "VMNAT.EXE"

   +0x084 UniqueProcessId : 0x000007a8 
   +0x174 ImageFileName   : [16]  "VMNETDHCP.EXE"

   +0x084 UniqueProcessId : 0x00000448 
   +0x174 ImageFileName   : [16]  "HKCMD.EXE"

   +0x084 UniqueProcessId : 0x000004dc 
   +0x174 ImageFileName   : [16]  "IGFXPERS.EXE"

   +0x084 UniqueProcessId : 0x00000578 
   +0x174 ImageFileName   : [16]  "SOUNDMAN.EXE"

   +0x084 UniqueProcessId : 0x00000590 
   +0x174 ImageFileName   : [16]  "daemon.exe"
 
   ......

如果需要执行多条命令,则把每条命令用分号隔开,把 !list 命令的整个参数用双引号括起来。


BraveJohn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg之使用!list指令遍历双向链表
Navagate的专栏
03-12 691
windows内核中大量的数据结构使用了双向链表。 如果能查看每个链表的元素,甚是美哉。 windbg就给我们提供了这么好用的功能。 !list命令是一个用来查看链表的命令,该功能非常强大并且易于使用。 下面我们就用例子来看一下!list命令的用法 使用!list遍历活动进程的进程Id和进程名 活动进程链表节点在EPROCESS中德偏移 +0x088 ActiveProcessL...
WinDBG遍历_LIST_ENTRY链表
10-19 1094
因为Window不同版本的内核数据结构有所不同,先声明实验环境。本实验在window7 32位系统下并且运行运算器(calc.exe)测试。为了显示的信息不至于冗长,在开始实验前先讲讲dt命令的-y参数及ExpTimerResolutionListHead全局变量。 1、dt命令查看_EPROCESS结构及-y参数 lkd> dt nt!_EPROCESS +0x0...
进程线程 1.EPROCESS和进程隐藏
Mikasys的博客
11-05 1304
一、EPROCESS结构体 EPROCESS结构 kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect
命令线程windbg之使用!list指令遍历双向链表
weixin_34406796的博客
04-28 182
废话就不多说了,开始。。。     windows内核中大批的数据结构应用了双向表链。     如果能查看个每表链的素元,甚是美哉。     windbg就给我们供给了这么好用的功能。     !list命令是一个用来查看表链的命令,该功能非常大强并且易于应用。     上面我们就用例子来看一下!list命令的用法      应用!list遍历活动进程的进程Id和进程名     活...
windbg资料集合
05-07
学习的过程并不一帆风顺,WinDbg自带的英文文档大而泛,网上资料也比较少,而WinDbg Not an ABBA Song。现在总算是入了点门,也收集了一些很好的资料,整理成一个CHM方便大家学习,时间仓促,整理得比较粗糙,大家...
精通Windows.API-函数、接口、编程实例.pdf
01-27
3.4.3 WinDbg命令 59 3.4.4 调试过程演示 59 3.5 集成开发环境 Visual Studio 62 3.5.1 工程类型选择与配置 62 3.5.2 Visual Studio快捷方式 64 3.5.3 生成项目 64 3.5.4 调试 65 3.5.5 选项与设置 ...
精通WindowsAPI 函数 接口 编程实例
01-08
3.4.3 WinDbg命令 59 3.4.4 调试过程演示 59 3.5 集成开发环境 Visual Studio 62 3.5.1 工程类型选择与配置 62 3.5.2 Visual Studio快捷方式 64 3.5.3 生成项目 64 3.5.4 调试 65 3.5.5 选项与设置 ...
[分享]方便的 windbg 命令 - !list
07-31 260
Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。 比如查看系统中的所有进程: lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_...
方便的 windbg 命令 - !list
小喂的专栏
05-03 1283
Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构会非常方便。比如查看系统中的所有进程:lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_EPROCESS, Ac
windbg : view LIST_ENTRY
谢绝留言与私信
09-15 1646
LIST_ENTRY 节点的结构 typedef struct _tag_ListEntry_Info_FSD { LIST_ENTRY List; COM_DATA_FSD_FILENAME * pFsdData; } TAG_LISTENTRY_INFO_FSD, *PTAG_LISTENTRY_INFO_FSD; typedef struct _tag_Com
SSDT——框架编写与hook实例
qq_42882717的博客
04-30 407
SSDT——hook与框架SSDT框架综述SSDThook综述三级目录 SSDT框架综述 SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~ SSDThook综述 ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。 typedef struct ServiceDescriptorEntry { unsigned in
[Rootkit] - 修改 EPROCESS 隐藏进程
LYSM
08-20 837
背景 EPROCESS 中有两个成员 UniqueProcessId // 唯一的pid InheritedFromUniqueProcessId // 唯一父进程pid 效果图
Windbg调试命令详解(3)
张佩的技术库
10-08 6048
3 进程与线程 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。 3.1 进程命令 进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。 竖线命令显示当前被调试进程列表的状态信息,这个命令在本章开头已作过介绍,命令格式如下: | [进程号] 请注意这里的定语:被调试进程列
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
热门推荐
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
修改活动进程链隐藏进程
Puzzle的专栏
06-25 1587
如何修改活动进程链来隐藏进程?通过PsGetCurrentProcess函数可以获取当前线程的EPROCESS,反汇编这个函数的话可以看到这个内核函数只有三行: mov eax, fs:0x00000124; mov eax, [eax + 0x44]; ret Windows中有一个叫Kernel's Processor Control Block (KPRCB),核心处理控制块的结
ProcessHaceker 之进程枚举(一)
maomao171314的专栏
07-18 257
processhacker 进程枚举
通过暴力搜索PID遍历进程并获取进程信息
LYSM
06-23 2784
背景 通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySystemInformation 函数,过滤指定进程,从而实现进程的隐藏。 本文实现的进程遍历和获取进程信息并不打算使用 ZwQuerySystemInformation 这种方式,而是直接暴力搜索进程的 PID,根据有效的 PID 获取相应进程的信息,从而实现进程的遍历。现在,我就来讲解具体的实现
Win64 驱动内核编程-7.内核里操作进程
天使也掉毛
03-05 4696
在内核里操作进程     在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程和 DLL 模块的操作)。本文包括 10 个部分:分别是:枚举进程、暂停进程、恢复进程、结束进程、枚举线程、暂停线
windbg 命令 msdn
最新发布
08-17
综上所述,Windbg 命令与 MSDN 相关,开发者可以借助 Windbg 命令调试应用程序,并通过 MSDN 上的相关文档来了解和学习如何正确使用这些命令。这样可以提高调试的效率和准确性,帮助开发者更好地解决应用程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值