65.windbg-!process显示进程(内核)

最新推荐文章于 2023-04-13 16:27:32 发布
最新推荐文章于 2023-04-13 16:27:32 发布
阅读量6.2k 收藏 2
点赞数
分类专栏: windbg 文章标签: windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/20313911
版权

!process 0 0 显示进程列表:

kd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.
    Image: System

PROCESS 8241d490  SessionId: none  Cid: 0178    Peb: 7ffdf000  ParentCid: 0004
    DirBase: 02b40040  ObjectTable: e148a4a0  HandleCount:  19.
    Image: smss.exe

PROCESS 824d6268  SessionId: 0  Cid: 0264    Peb: 7ffd4000  ParentCid: 0178
    DirBase: 02b40060  ObjectTable: e148fa18  HandleCount: 383.
    Image: csrss.exe
....
!process XXX显示指定进程的所有信息, !process XXX 0显示指定进程的基本信息

XXX可以为EPROCESS或进程ID

kd> !process @$proc 0
PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.
    Image: System

kd> !process 4 0
Searching for Process with Cid == 4
Cid Handle table at e1005000 with 366 Entries in use
PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.
    Image: System
!process 0 0 XXX.exe查找进程 

kd> !process 0 0  smss.exe
PROCESS 8241d490  SessionId: none  Cid: 0178    Peb: 7ffdf000  ParentCid: 0004
    DirBase: 02b40040  ObjectTable: e148a4a0  HandleCount:  19.
    Image: smss.exe

kd> !process 0 0 system
PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.
    Image: System

注意只有sytem,没有sytem.exe!!! 

kd> !process 0 0 system.exe

上述命令是找不到的


花熊
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg-.process切换进程
whatday的专栏
10-13 2470
.process 命令指定要用作进程上下文的进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe [cpp] view plain copy   kd> .process   Implicit process is now 821f5da0   kd> ? @$proc
进程查看工具ProcessExplore
05-24
进程查看工具ProcessExplore
windbg学习---!process
weixin_30408165的博客
03-02 519
!process 0 0 显示进程列表: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 825b7830 SessionId: none Cid: 0004 Peb: 00000000 ParentCid: 0000 DirBase: 02b40020 ObjectTable: e1003e...
WinDBG技巧:列出当前进程所有装载的模块(DLL/EXE)
weixin_33893473的博客
02-12 354
调试的时候想要知道当前进程装载了哪些模块,每个模块被装载的代码地址段是在哪个范围,可以使用lm命令。 拿notepad为例,输入lm命令可以发现: 0:001> lmstart    end        module name00830000 00858000   notepad    (pdb symbols)          c:\debuggers\externalsymbols...
windbg查看当前进程token
如鹿渴慕泉水的专栏
10-14 802
!handle -1 37 Token
WinDbg.入门.6.内核调试常用命令1
08-03
在Windows调试领域,WinDbg是一款强大的调试工具,尤其在内核模式调试中扮演着重要角色。本文将简要介绍内核调试中的几个常用命令,重点关注内存相关操作,以帮助初学者快速掌握基本的内核调试技能。 1. **!address...
WinDbg.入门.5.内核调试常用命令1
08-03
这只是WinDbg内核调试命令的冰山一角,实际上还有许多其他命令和扩展命令,如`kb`(显示堆栈回溯)、`dt`(显示类型定义)、`lm`(列出加载的模块)、`!process`(查看进程详细信息)和`!thread`(查看线程详细信息...
IP-Guard获取进程的调试信息for Windbg.pdf
11-28
《使用IP-Guard获取进程调试信息的Windbg操作详解》 在计算机科学领域,尤其是在软件开发和系统故障排查中,调试是一项至关重要的任务。本文将详细介绍如何利用IP-Guard配合Windbg工具获取进程的调试信息,这对于...
windbg_advanced.rar_windbg
09-19
Windbg是一款强大的Windows调试工具,由Microsoft开发,广泛用于系统级调试、内核模式调试以及应用程序的故障排查。本文将深入探讨Windbg的高级用法,帮助你掌握更高效的调试技巧。 1. **命令行界面与基本操作** ...
进程查看管理工具——Process Explorer汉化版
11-20
Process Explorer 是一款免费的增强型任务管理器,是最好的进程管理器. 它能让使用者了解看不到的在后台执行的处理程序,可以使用它方便地管理你的程序进程. 能监视,挂起,重启,强行终止任何程序,包括系统级别的不允许随便终止的关键进程和十分隐蔽的顽固木马. 除此之外,它还详尽地显示计算机信息: CPU,内存,I/O使用情况,可以显示一个程序调用了哪些动态链接库DLL,句柄,模块,系统进程. 以目录树的方式查看进程之间的归属关系,可以对进程进行调试. 可以查看进程的路径,以及公司,版本等详细信息,多色彩显示服务进程,很酷的曲线图. 可以替换系统自带的任务管理器,有了它,系统自带的任务管理器就可以扔进垃圾桶了.
WinDBG命令行大全.zip
04-11
process`用于显示进程信息,`!thread`用于查看线程状态,`!analyze -v`则用于进行详细的崩溃分析。 2. **.reload /f**:此命令用于重新加载所有模块,特别是在模块加载出现问题或者更新了驱动时非常有用。 3. **g ...
[windbg] 进程、线程
墨鱼菜鸡
04-07 218
进程 命令作用!process 0 0查看所有进程信息!process -1 1查看当前进程信息!process 0 0 test.exe查看指定进程名信息!process 0 7查看进程详细信息.process /p ...
Windbg查看进程的_EPROCESS结构
never12345678的专栏
10-15 5702
最近研究某驱动DebugPort清零,学习了使用Windbg查看_EPROCESS结构地址,采用Syser下断查找清零代码。下面主要写下Windbg查看进程的_EPROCESS结构,便以后查阅。大家知道,每一个进程都对应一个_EPROCESS结构,我们如何确定一个进程的_EPROCESS地址呢?以notepad.exe为例使用Windbg的Kernel Debug,输入命令lkd> !process 0 0    //查看当前进程PROCESS 8a5e7088 SessionId: 0 Cid: 0ff0
关于进程
道常无为
02-18 323
关于进程 process 什么是进程进程是已启动的可执行程序的运行实例,进程有以下组成部分: • 已分配内存的地址空间; • 安全属性,包括所有权凭据和特权; • 程序代码的一个或多个执行线程; • 进程状态。 程序: 二进制文件,静态 /bin/date, /usr/sbin/httpd,/usr/sbin/sshd, /usr/local/nginx/sbin/ngix 进
Windbg 内核态调试用户态进程
sxr__nc的博客
07-13 2193
之前写过双机调试环境的搭建,一般用来调试驱动这样内核态的东西,今天遇到一个问题,就是在内核态的情况下怎么给用户态的程序下断点?也就是在内核态怎么调试用户态的程序,比如想要给CreateProcessW这个API下断点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户态的模块,内核会话不会加载这个模块。 使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下断点(其实没必要使用OD附加) 接下来开始展示: 1、搭建双机
windbg(蓝屏调试分析教程)
cxin917的专栏
12-12 2980
一、WinDbg是什么?它能做什么? WinDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、WinDbg6.7下载 1.WinDbg(蓝屏分析修复工具) 6.7 免费版(32位)
WinDbg命令详解--进程
Arbboter的专栏
03-17 2556
指令列表.tlist 查看进程简要信息:进程号和进程名称 .tlist 查看进程详细信息:进程号和进程名称,命令行参数,SessionID,用户等信息 !teb 线程块环境信息 !peb 进程块环境信息 lm 查看模块的简要信息 lm -v 查看模块的相信信息 !handle 查看句柄表信息 !handle id 查看特定的句柄信息
使用windbg查看进程导入表
momodeconger的博客
04-13 307
查看INT表(桥1)每4个字节代表一个导入函数的地址,一共从msvcp140d.dll中导入了14个函数。由于_IMAGE_DOS_HEADER这个结构属于ntdll,所以使用下面的命令,反汇编7978aec0,这个地址对应的就是我们通过INT找到的函数。查看第一个函数的名字和序号,前2个字节是序号,后面是函数的名称。查看IAT表(函数地址表),每4个字节对应一个函数的虚拟地址。其中,0n224就是NT头的位置(这是一个RVA)查看导入表内容,每个dll对应20个字节。查看导入的dll的名字。
windbg -xe cpr 1.exe 这个命令行是什么意思
最新发布
06-13
这个命令行是在使用Windbg调试器来运行名为1.exe的程序,并在程序运行过程中监视和记录CPU寄存器的内容。具体来说,-xe参数指定了要监视的内容,这里是cpr,表示要监视CPU的所有寄存器。1.exe是要运行的程序的名称。这个命令行的作用是在程序运行过程中记录CPU寄存器的变化,以帮助调试者检查程序的运行状态和诊断问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值