windbg-!process显示进程

最新推荐文章于 2024-03-20 10:09:49 发布
最新推荐文章于 2024-03-20 10:09:49 发布
阅读量4.7k 收藏
点赞数

!process 0 0 显示进程列表:

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. kd> !process 0 0  
  2. **** NT ACTIVE PROCESS DUMP ****  
  3. PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000  
  4.     DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.  
  5.     Image: System  
  6.   
  7. PROCESS 8241d490  SessionId: none  Cid: 0178    Peb: 7ffdf000  ParentCid: 0004  
  8.     DirBase: 02b40040  ObjectTable: e148a4a0  HandleCount:  19.  
  9.     Image: smss.exe  
  10.   
  11. PROCESS 824d6268  SessionId: 0  Cid: 0264    Peb: 7ffd4000  ParentCid: 0178  
  12.     DirBase: 02b40060  ObjectTable: e148fa18  HandleCount: 383.  
  13.     Image: csrss.exe  
  14. ....  
!process XXX显示指定进程的所有信息, !process XXX 0显示指定进程的基本信息

XXX可以为EPROCESS或进程ID

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. kd> !process @$proc 0  
  2. PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000  
  3.     DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.  
  4.     Image: System  
  5.   
  6. kd> !process 4 0  
  7. Searching for Process with Cid == 4  
  8. Cid Handle table at e1005000 with 366 Entries in use  
  9. PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000  
  10.     DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.  
  11.     Image: System  
!process 0 0 XXX.exe查找进程

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. kd> !process 0 0  smss.exe  
  2. PROCESS 8241d490  SessionId: none  Cid: 0178    Peb: 7ffdf000  ParentCid: 0004  
  3.     DirBase: 02b40040  ObjectTable: e148a4a0  HandleCount:  19.  
  4.     Image: smss.exe  
  5.   
  6. kd> !process 0 0 system  
  7. PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000  
  8.     DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.  
  9.     Image: System  

注意只有sytem,没有sytem.exe!!!

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. kd> !process 0 0 system.exe  

上述命令是找不到的


whatday
关注
[微软工具] 基于WinDbg的内存泄漏分析 - 比较复杂情况下调试
08-13
使用WinDbg附加到目标进程,可以实时观察内存分配和释放的情况。WinDbg提供了强大的命令行接口,如`!heap -s`命令可以显示堆概览,`!heap -flt s`命令可以筛选特定大小或状态的内存块。 3. **利用WinDbg的扩展命令...
windbg学习---!process
ShadowAssassin的专栏
08-09 4204
!process 0 0 显示进程列表:
WinDbg学习笔记八 - 内核调试常用命令2 - 进程相关
imJaron的博客
11-14 721
!process: 查看进程信息,比如EPROCESS地址,进程ID,线程信息等等。 !process 0 0: 用来显示进程列表以及每个进程的基本信息。 也可以查看指定进程的信息,以下会显示863e6b60进程的基本信息,不加0则会显示具体的信息。 !process -1 0则会显示当前进程的基本信息, 也可以查找特定的进程,比如
!process 不能使用解决
125096
06-29 2045
.sympath srv*E:\Symbols*http://msdl.microsoft.com/download/symbols lkd> !process NT symbols are incorrect, please fix symbols =====> 1. 若符号存在E:\Symbols,输入命令: .sympath srv*E:\Symbols*http://msdl.mi
记录windbg调试使用
weixin_41725706的博客
11-05 738
x64windbg调试进程和线程结构体
IP-Guard获取进程的调试信息for Windbg.docx
11-28
5. **附加到进程**:在WinDbg界面中,选择“File”菜单,然后点击“Attach to a Process”,这将允许你连接到运行中的特定进程。 6. **选择要调试的进程**:在弹出的窗口中,找到并选择需要调试的进程,例如`...
IP-Guard获取进程的调试信息for Windbg.pdf
11-28
《使用IP-Guard获取进程调试信息的Windbg操作详解》 在计算机科学领域,尤其是在软件开发和系统故障排查中,调试是一项至关重要的任务。本文将详细介绍如何利用IP-Guard配合Windbg工具获取进程的调试信息,这对于...
WinDbg_cmds.rar_windbg
09-14
process`: 显示进程详细信息,包括其子进程、线程、内存分配等。 4. **调试技巧** - 使用`bp`设置断点,例如`bp module!function`在特定函数处中断。 - `dv`和`dt`配合使用,可以查看变量和结构体的值。 - `uc`...
使用windbg调试进程线程数据结构
05-13
process 0 0`显示所有进程的基本信息,包括进程ID (CID) 和进程名称。 - CID在这里是指进程的PID,通常以十六进制形式表示。 2. **转换CID为十进制**: - 使用`.formats`命令可以将CID转换为十进制形式。例如,...
Windbg的常用命令
oBuYiSeng的博客
01-06 700
!process 0 0                     //先打印系统中的进程信息,找到自己想要调试的进程  !process 0 0 notepad.exe         //这里打印下notepad.exe(记事本)进程信息  .process /i /p 8721e2b0         //切换到应用程序的地址空间(默认在system进程空间)  .reload /f /
利用windbg分析程序崩溃生成的dmp文件
baidu_16370559的博客
11-04 4306
Windbg是一款功能十分强大的调试工具,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、调试转储文件、远程调试等等。 基本步骤: ●STEP 1:打开Windbg,在file中选择open crash Dump来打开所需要调试的Dump文件。 ●STEP 2:在file菜单中分别设置好Symbol file path 和 Source file path。 其中Symbol file path是程序编译时所生成的pdb文件,具体到某一个.pdb文件,如: ...
windbg-.process切换进程
whatday的专栏
10-13 2521
.process 命令指定要用作进程上下文的进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe [cpp] view plain copy   kd> .process   Implicit process is now 821f5da0   kd> ? @$proc
WinDbg命令详解--进程
Arbboter的专栏
03-17 2583
指令列表.tlist 查看进程简要信息:进程号和进程名称 .tlist 查看进程详细信息:进程号和进程名称,命令行参数,SessionID,用户等信息 !teb 线程块环境信息 !peb 进程块环境信息 lm 查看模块的简要信息 lm -v 查看模块的相信信息 !handle 查看句柄表信息 !handle id 查看特定的句柄信息
Windbg】常用命令
最新发布
sunriver2000的专栏
03-20 209
Windbg(Windows Debugger)是微软提供的强大的调试工具,用于在 Windows 操作系统上进行应用程序和内核级别的调试。它主要用于诊断和解决软件开发中的问题,包括崩溃、死锁、内存泄漏、性能问题等。
Windbg调试命令详解(3)
张佩的技术库
10-08 6207
3 进程与线程 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。 3.1 进程命令 进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。 竖线命令显示当前被调试进程列表的状态信息,这个命令在本章开头已作过介绍,命令格式如下: | [进程号] 请注意这里的定语:被调试进程
Windbg常用命令详解
热门推荐
dvlinker的技术专栏
06-28 1万+
本文详细介绍Windbg常用命令。
Windbg查看进程的_EPROCESS结构
never12345678的专栏
10-15 5791
最近研究某驱动DebugPort清零,学习了使用Windbg查看_EPROCESS结构地址,采用Syser下断查找清零代码。下面主要写下Windbg查看进程的_EPROCESS结构,便以后查阅。大家知道,每一个进程都对应一个_EPROCESS结构,我们如何确定一个进程的_EPROCESS地址呢?以notepad.exe为例使用Windbg的Kernel Debug,输入命令lkd> !process 0 0    //查看当前进程PROCESS 8a5e7088 SessionId: 0 Cid: 0ff0
Windbg调试命令详解
Boy_Kris的专栏
02-28 2522
转载注明>> 【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值