windbg-!process显示进程

最新推荐文章于 2024-01-03 13:44:15 发布
最新推荐文章于 2024-01-03 13:44:15 发布
阅读量4.7k 收藏
点赞数

!process 0 0 显示进程列表:

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. kd> !process 0 0  
  2. **** NT ACTIVE PROCESS DUMP ****  
  3. PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000  
  4.     DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.  
  5.     Image: System  
  6.   
  7. PROCESS 8241d490  SessionId: none  Cid: 0178    Peb: 7ffdf000  ParentCid: 0004  
  8.     DirBase: 02b40040  ObjectTable: e148a4a0  HandleCount:  19.  
  9.     Image: smss.exe  
  10.   
  11. PROCESS 824d6268  SessionId: 0  Cid: 0264    Peb: 7ffd4000  ParentCid: 0178  
  12.     DirBase: 02b40060  ObjectTable: e148fa18  HandleCount: 383.  
  13.     Image: csrss.exe  
  14. ....  
!process XXX显示指定进程的所有信息, !process XXX 0显示指定进程的基本信息

XXX可以为EPROCESS或进程ID

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. kd> !process @$proc 0  
  2. PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000  
  3.     DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.  
  4.     Image: System  
  5.   
  6. kd> !process 4 0  
  7. Searching for Process with Cid == 4  
  8. Cid Handle table at e1005000 with 366 Entries in use  
  9. PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000  
  10.     DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.  
  11.     Image: System  
!process 0 0 XXX.exe查找进程

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. kd> !process 0 0  smss.exe  
  2. PROCESS 8241d490  SessionId: none  Cid: 0178    Peb: 7ffdf000  ParentCid: 0004  
  3.     DirBase: 02b40040  ObjectTable: e148a4a0  HandleCount:  19.  
  4.     Image: smss.exe  
  5.   
  6. kd> !process 0 0 system  
  7. PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000  
  8.     DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.  
  9.     Image: System  

注意只有sytem,没有sytem.exe!!!

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. kd> !process 0 0 system.exe  

上述命令是找不到的


whatday
关注
使用Process Explorer/Process Hacker与Windbg初步定位软件高CPU占用问题
dvlinker的技术专栏
01-09 2万+
本文详细介绍如何使用Process Explorer/Process Hacker与Windbg初步定位软件高CPU占用问题。
使用Windbg调试目标进程的一般步骤及要点详解
热门推荐
dvlinker的技术专栏
06-04 3万+
本文以一个具体的崩溃实例来详细讲述使用Windbg动态调试目标进程的一般步骤及相关要点。
进程查看工具ProcessExplore
05-24
进程查看工具ProcessExplore
windbg学习---!process
weixin_30408165的博客
03-02 528
!process 0 0 显示进程列表: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 825b7830 SessionId: none Cid: 0004 Peb: 00000000 ParentCid: 0000 DirBase: 02b40020 ObjectTable: e1003e...
WinDBG技巧:列出当前进程所有装载的模块(DLL/EXE)
weixin_33893473的博客
02-12 390
调试的时候想要知道当前进程装载了哪些模块,每个模块被装载的代码地址段是在哪个范围,可以使用lm命令。 拿notepad为例,输入lm命令可以发现: 0:001> lmstart    end        module name00830000 00858000   notepad    (pdb symbols)          c:\debuggers\externalsymbols...
windbg查看当前进程token
如鹿渴慕泉水的专栏
10-14 822
!handle -1 37 Token
windbg-.process切换进程(内核)
01-07 1014
.process .process 命令指定要用作进程上下文的进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe [cpp] view plain copy print? kd>.process Implicitprocessisnow...
使用 Process Explorer 和 Windbg 排查软件线程堵塞案例分享
最新发布
dvlinker的技术专栏
01-03 1万+
使用Process Explorer和Windbg排查软件线程堵塞案例分享。
windgb - !analyze -v 字段解析
tuan8888888的博客
01-26 997
字段解析 FAULTING_IP: 显示错误时的指令指针 ,IP(Instruction Pointer):指令指针寄存器 FAULTING_IP: ntdll!PropertyLengthAsVariant+73 77f97704 cc int 3 EXCEPTION_RECORD: 字段显示此崩溃的异常记录,还可以使用. .exr (显示异常记录)命令来查看此信息。 EXCEPTION_RECORD: ffffffff -- (.exr fff...
进程查看管理工具——Process Explorer汉化版
11-20
Process Explorer 是一款免费的增强型任务管理器,是最好的进程管理器. 它能让使用者了解看不到的在后台执行的处理程序,可以使用它方便地管理你的程序进程. 能监视,挂起,重启,强行终止任何程序,包括系统级别的不允许随便终止的关键进程和十分隐蔽的顽固木马. 除此之外,它还详尽地显示计算机信息: CPU,内存,I/O使用情况,可以显示一个程序调用了哪些动态链接库DLL,句柄,模块,系统进程. 以目录树的方式查看进程之间的归属关系,可以对进程进行调试. 可以查看进程的路径,以及公司,版本等详细信息,多色彩显示服务进程,很酷的曲线图. 可以替换系统自带的任务管理器,有了它,系统自带的任务管理器就可以扔进垃圾桶了.
Windbg查看进程的_EPROCESS结构
never12345678的专栏
10-15 5804
最近研究某驱动DebugPort清零,学习了使用Windbg查看_EPROCESS结构地址,采用Syser下断查找清零代码。下面主要写下Windbg查看进程的_EPROCESS结构,便以后查阅。大家知道,每一个进程都对应一个_EPROCESS结构,我们如何确定一个进程的_EPROCESS地址呢?以notepad.exe为例使用Windbg的Kernel Debug,输入命令lkd> !process 0 0    //查看当前进程PROCESS 8a5e7088 SessionId: 0 Cid: 0ff0
windbg-.process切换进程
whatday的专栏
10-13 2528
.process 命令指定要用作进程上下文的进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe [cpp] view plain copy   kd> .process   Implicit process is now 821f5da0   kd> ? @$proc
关于进程
道常无为
02-18 337
关于进程 process 什么是进程进程是已启动的可执行程序的运行实例,进程有以下组成部分: • 已分配内存的地址空间; • 安全属性,包括所有权凭据和特权; • 程序代码的一个或多个执行线程; • 进程状态。 程序: 二进制文件,静态 /bin/date, /usr/sbin/httpd,/usr/sbin/sshd, /usr/local/nginx/sbin/ngix 进
[windbg] 进程、线程
墨鱼菜鸡
04-07 228
进程 命令作用!process 0 0查看所有进程信息!process -1 1查看当前进程信息!process 0 0 test.exe查看指定进程名信息!process 0 7查看进程详细信息.process /p ...
Windbg 内核态调试用户态进程
sxr__nc的博客
07-13 2305
之前写过双机调试环境的搭建,一般用来调试驱动这样内核态的东西,今天遇到一个问题,就是在内核态的情况下怎么给用户态的程序下断点?也就是在内核态怎么调试用户态的程序,比如想要给CreateProcessW这个API下断点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户态的模块,内核会话不会加载这个模块。 使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下断点(其实没必要使用OD附加) 接下来开始展示: 1、搭建双机
windbg(蓝屏调试分析教程)
cxin917的专栏
12-12 3052
一、WinDbg是什么?它能做什么? WinDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、WinDbg6.7下载 1.WinDbg(蓝屏分析修复工具) 6.7 免费版(32位)
WinDbg命令详解--进程
Arbboter的专栏
03-17 2584
指令列表.tlist 查看进程简要信息:进程号和进程名称 .tlist 查看进程详细信息:进程号和进程名称,命令行参数,SessionID,用户等信息 !teb 线程块环境信息 !peb 进程块环境信息 lm 查看模块的简要信息 lm -v 查看模块的相信信息 !handle 查看句柄表信息 !handle id 查看特定的句柄信息
使用windbg查看进程导入表
momodeconger的博客
04-13 331
查看INT表(桥1)每4个字节代表一个导入函数的地址,一共从msvcp140d.dll中导入了14个函数。由于_IMAGE_DOS_HEADER这个结构属于ntdll,所以使用下面的命令,反汇编7978aec0,这个地址对应的就是我们通过INT找到的函数。查看第一个函数的名字和序号,前2个字节是序号,后面是函数的名称。查看IAT表(函数地址表),每4个字节对应一个函数的虚拟地址。其中,0n224就是NT头的位置(这是一个RVA)查看导入表内容,每个dll对应20个字节。查看导入的dll的名字。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值