WinDbg学习笔记八 - 内核调试常用命令2 - 进程相关

最新推荐文章于 2022-11-05 09:25:20 发布
最新推荐文章于 2022-11-05 09:25:20 发布
阅读量682 收藏
点赞数 1
分类专栏: 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imJaron/article/details/78533102
版权

!process: 查看进程信息,比如EPROCESS地址,进程ID,线程信息等等。


!process 0 0: 用来显示进程列表以及每个进程的基本信息。



也可以查看指定进程的信息,以下会显示863e6b60进程的基本信息,不加0则会显示具体的信息。



!process -1 0则会显示当前进程的基本信息,



也可以查找特定的进程,比如



.process: 主要用来在进程间进程切换。

不加参数的时候,则切换到当前中断的进程上下文。



.process /r /p proaddress 和 .process /i proaddress 切换到指定的进程, 但是前者只是显示上面的不同,而后者会让系统做实际的进程切换,所以后者需要再加上g命令,让目标系统去做这个切换。


!dml_proc: 显示进程信息,但是格式上会简洁很多。



imJaron
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何使用windbg看eprocess的结构
尘埃落定
08-27 6787
安装windbg加入 symbol path  运行WinDbg->菜单->File->Symbol File Path->按照下面的方法设置_NT_SYMBOL_PATH变量:在弹出的框中输入“C:/MyCodesSymbols;SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols”(
Windbg查看进程工作集页面
12-01
一个进程使用 new 函数申请内存,并用dd 命令查看内存中的页面情况。
windbg学习----.process
weixin_30379911的博客
03-02 479
.process 命令指定要用作进程上下文的进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe kd> .process Implicit process is now 821f5da0 kd> ? @$proc Evaluate expression: -2111873632 = 821f...
WinDbg命令详解--进程
Arbboter的专栏
03-17 2552
指令列表.tlist 查看进程简要信息:进程号和进程名称 .tlist 查看进程详细信息:进程号和进程名称,命令行参数,SessionID,用户等信息 !teb 线程块环境信息 !peb 进程块环境信息 lm 查看模块的简要信息 lm -v 查看模块的相信信息 !handle 查看句柄表信息 !handle id 查看特定的句柄信息
利用windbg探索进程进程上下文
05-07 228
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 [plain]viewplain? 0:kd>!process00 ****NTACTIVEPROCESSDUM...
windbg .process命令的一个注意事项
fwqcuc的专栏
10-07 3570
<br />.process命令的功能是在内核调试时,切换进程CONTEXT。是调试用户态模块所必须的命令,因为用户态模块必然是在进程环境中运行的。<br />使用.process命令时需注意,在切换到目标进程空间后必须强制加载user模块的pdb文件。在;运行.process /i; g,等待中断后使用.reload /i /user或.process 时使用/p /r参数。否则lm不能列出进程实际已经加载的用户态模块,lm u结果会为空。下用户态程序断点,查看内存等操作都无法进行。
windbg-cheat-sheet:我使用WinDbg进行内核调试的个人备忘单
04-27
内核调试WinDbg备忘单我使用WinDbg进行内核调试的个人备忘单。 当我使用WinDbg进行新操作时,本备忘单/迷你指南也会更新。内核调试设置安装调试工具要使用windbg,您必须安装。 我建议从Windows应用商店安装Windbg...
WinDbg.入门.6.内核调试常用命令1
08-03
本文将简要介绍内核调试中的几个常用命令,重点关注内存相关操作,以帮助初学者快速掌握基本的内核调试技能。 1. **!address** 命令:此命令用于显示内存的相关信息,包括内存的范围、权限、用途等。在内核模式下,...
WinDbg.入门.5.内核调试常用命令1
08-03
介绍每个命令的主要作用,以及常用方式,不会涉及详细的命令参数,目的是能快速上手熟悉内核调试下的常用操作,而不是替代帮助文件。查看目标机查看目标机查看目标机查看目
windbg调试工具windbg-10.0.18.zip
10-24
Windbg是一款由微软开发的强大调试工具,主要用于对Windows操作系统下的应用程序进行调试和分析。它集成了丰富的调试功能,包括但不限于崩溃分析、内存检测、线程分析、模块加载、符号解析等,是软件开发者、系统...
windbg调试uefi在hyper-v全套资源
最新发布
02-20
Set-VMComPort -VMName dbguefiisov2 -Path \\.\pipe\windbg -Number 1 修改 C:\Program Files (x86)\Intel\Intel(R) UEFI Development Kit Debugger Tool\SoftDebugger.ini [Debug Port] Channel = Pipe Port = ...
windbg-.process切换进程
whatday的专栏
10-13 2466
.process 命令指定要用作进程上下文的进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe [cpp] view plain copy   kd> .process   Implicit process is now 821f5da0   kd> ? @$proc
windbg调试应用层程序
125096
07-05 567
kd> !process 0 0 3222.exe PROCESS 94edc0f0 SessionId: 1 Cid: 0cb0 Peb: 7ffde000 ParentCid: 0534 DirBase: 3eb99460 ObjectTable: 9846a410 HandleCount: 6. Image: 3222.exe kd> .process
记录windbg调试使用
weixin_41725706的博客
11-05 725
x64windbg调试进程和线程结构体
系统诊断概述-如何通过windbg来dump特定process的memory.
weixin_34295316的博客
06-06 129
关键字:系统异常system exception 内存dump (信息转储),windbg工具. 1.为什么需要dump 内存 系统经常出现各种各样的问题,这些问题,可能是本身程序设计的时候考虑的不够周全,导致的程序异常,或者系统本身的问题。那么,当系统crash或者发生exception的时候,如何获得系统的context,然后给出准确地diagnostics,然后提出reso...
软件调试实战:windbg 内核调试 (lkd kd )
huanongying131的博客
06-04 4726
http://advdbg.org/books/swdbg/samples.aspx 一,本地内核调试( lkd ): 管理员权限启动windbg,ctrl + k --> Local 二,查看进程数据结构 1.启动计算器 2. !process 0 0 列出系统内的所有进程 3. dt _EPROCESS 88270030 ...
windbg学习---!process
ShadowAssassin的专栏
08-09 4147
!process 0 0 显示进程列表:
windbg分析进程卡死、CPU高占用
Think88666的博客
07-31 2008
本文重点讲述的是通过windbg分析进程卡死、CPU占用过高的问题,在日常的开发过程中,,那么在这种情况下我们该如何找出程序是在哪个环节或函数处卡主的?本文正是为了解决此问题。
Windbg 内核调试用户态进程
sxr__nc的博客
07-13 2180
之前写过双机调试环境的搭建,一般用来调试驱动这样内核态的东西,今天遇到一个问题,就是在内核态的情况下怎么给用户态的程序下断点?也就是在内核态怎么调试用户态的程序,比如想要给CreateProcessW这个API下断点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户态的模块,内核会话不会加载这个模块。 使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下断点(其实没必要使用OD附加) 接下来开始展示: 1、搭建双机

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值