WinDbg学习笔记八 - 内核调试常用命令2 - 进程相关

最新推荐文章于 2022-11-05 09:25:20 发布
最新推荐文章于 2022-11-05 09:25:20 发布
阅读量740 收藏
点赞数 1
分类专栏: 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imJaron/article/details/78533102
版权

!process: 查看进程信息,比如EPROCESS地址,进程ID,线程信息等等。


!process 0 0: 用来显示进程列表以及每个进程的基本信息。



也可以查看指定进程的信息,以下会显示863e6b60进程的基本信息,不加0则会显示具体的信息。



!process -1 0则会显示当前进程的基本信息,



也可以查找特定的进程,比如



.process: 主要用来在进程间进程切换。

不加参数的时候,则切换到当前中断的进程上下文。



.process /r /p proaddress 和 .process /i proaddress 切换到指定的进程, 但是前者只是显示上面的不同,而后者会让系统做实际的进程切换,所以后者需要再加上g命令,让目标系统去做这个切换。


!dml_proc: 显示进程信息,但是格式上会简洁很多。



imJaron
关注
专栏目录
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4347
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
《格蠹汇编》读书笔记windbg的使用
u012138730的专栏
05-25 5412
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
Windbg中查看计算机
热门推荐
张佩的技术库
08-23 3万+
使用Windbg调试目标对象的时候,用户发现到它的一个缺陷,就是不能自动识别目标设备的机器。实际上Windbg总是标出了Machine Name的关键字,但却从来都没有显示。可以认为Windbg在这个地方有点小缺陷。见下面的例子: //示例见原文 在调试一些很困难问题的时候,比如目标系统boot失败、桌面不能正常显示、dump分析,这些情况下,我们没法通过登录到目标机器上去查看机器,只能借助Windbg来实现。虽然Windbg没有自动显示功能,但仍然可以通过两种方法来实现手动实现。我们分两种情况来讲
windbg学习----.process
weixin_30379911的博客
03-02 497
.process 命令指定要用作进程上下文的进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe kd> .process Implicit process is now 821f5da0 kd> ? @$proc Evaluate expression: -2111873632 = 821f...
WinDBG 技巧:显示进程/线程环境参数(!peb 和 !teb 命令)
编程开发资料库
03-06 396
首先介绍PEB和TEB概念: PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 调试的程序...
Windbg查看进程工作集页面
12-01
一个进程使用 new 函数申请内存,并用dd 命令查看内存中的页面情况。
WinDbg命令详解--进程
Arbboter的专栏
03-17 2612
指令列表.tlist 查看进程简要信息:进程号和进程称 .tlist 查看进程详细信息:进程号和进程称,命令行参数,SessionID,用户等信息 !teb 线程块环境信息 !peb 进程块环境信息 lm 查看模块的简要信息 lm -v 查看模块的相信信息 !handle 查看句柄表信息 !handle id 查看特定的句柄信息
利用windbg探索进程进程上下文
05-07 256
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 [plain]viewplain? 0:kd>!process00 ****NTACTIVEPROCESSDUM...
windbg .process命令的一个注意事项
fwqcuc的专栏
10-07 3595
<br />.process命令的功能是在内核调试时,切换进程CONTEXT。是调试用户态模块所必须的命令,因为用户态模块必然是在进程环境中运行的。<br />使用.process命令时需注意,在切换到目标进程空间后必须强制加载user模块的pdb文件。在;运行.process /i; g,等待中断后使用.reload /i /user或.process 时使用/p /r参数。否则lm不能列出进程实际已经加载的用户态模块,lm u结果会为空。下用户态程序断点,查看内存等操作都无法进行。
windbg-.process切换进程
whatday的专栏
10-13 2564
.process 命令指定要用作进程上下文的进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe [cpp] view plain copy   kd> .process   Implicit process is now 821f5da0   kd> ? @$proc
windbg学习笔记
wskz876的专栏
02-08 1531
写与2014年6月3日Default Workspace 默认工作空间 implicit Workspace 隐含工作空间Named Workspace 命工作空间 explicit Workspace 显示工作空间Base Workspace 基础工作空间 dormant 状态Default Kernel-mode Workspace 默认内核态工作空间Remote Default Wo...
学习笔记-第章 恶意代码分析实战
Yes_butter的博客
03-15 550
章 动态调试 1.源代码级与汇编级的调试器 多数软件开发者熟悉源码级的调试器。这类调试器一般内置于集成开发环境中。为了检查程序内部变 量的状态一次一行的运行程序,源码级别的调试器允许设置断点,让程序中断在源代码某行。 汇编级调试器,也称为底层调试器,它的操作对象不是源代码而是汇编代码。同源代码级调试器一 样,你也可以使用汇编级调试器按照一次一条指令的方式运行程序。在某行汇编代码上设置...
浅谈MDL(叁)--实例测试(Windows内核学习笔记)
KOOKNUT的博客
04-10 618
在我之前写SSDTHook时候,用到过MDL的相关知识,是对内核层的虚拟地址进行MDL映射,然后修改,实现SSDTHook。 原文链接: https://blog.csdn.net/qq_42253797/article/details/104352520 接下来看一下MDL的实现过程: 首先调用MmCreateMdl函数,对KeServiceDescriptorTable->Service...
windbg调试应用层程序
125096
07-05 584
kd> !process 0 0 3222.exe PROCESS 94edc0f0 SessionId: 1 Cid: 0cb0 Peb: 7ffde000 ParentCid: 0534 DirBase: 3eb99460 ObjectTable: 9846a410 HandleCount: 6. Image: 3222.exe kd> .process
Windbg调试命令详解(3)
张佩的技术库
10-08 6336
3 进程与线程 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。 3.1 进程命令 进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。 竖线命令显示当前被调试进程列表的状态信息,这个命令在本章开头已作过介绍,命令格式如下: | [进程号] 请注意这里的定语:被调试进程
记录windbg调试使用
weixin_41725706的博客
11-05 760
x64windbg调试进程和线程结构体
系统诊断概述-如何通过windbg来dump特定process的memory.
weixin_34295316的博客
06-06 156
关键字:系统异常system exception 内存dump (信息转储),windbg工具. 1.为什么需要dump 内存 系统经常出现各种各样的问题,这些问题,可能是本身程序设计的时候考虑的不够周全,导致的程序异常,或者系统本身的问题。那么,当系统crash或者发生exception的时候,如何获得系统的context,然后给出准确地diagnostics,然后提出reso...
软件调试实战:windbg 内核调试 (lkd kd )
huanongying131的博客
06-04 5001
http://advdbg.org/books/swdbg/samples.aspx 一,本地内核调试( lkd ): 管理员权限启动windbg,ctrl + k --> Local 二,查看进程数据结构 1.启动计算器 2. !process 0 0 列出系统内的所有进程 3. dt _EPROCESS 88270030 ...
Windbg调试命令详解
Boy_Kris的专栏
02-28 2569
转载注明>> 【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值