!peb
Die Erweiterung !peb zeigt eine formatierte Ansicht der Informationen im Prozessumgebungsblock (PEB) an.
!peb [PEB-Address]
Parameter
PEB-Adresse
Die hexadezimale Adresse des Prozesses, dessen PEB Sie untersuchen möchten. (Dies ist nicht die Adresse des PEB, wie sie aus dem Kernel-Prozessblock für den Prozess abgeleitet ist) Wenn PEB-Address im Benutzermodus weggelassen wird, wird der PEB für den aktuellen Prozess verwendet. Wird er im Kernelmodus weggelassen, wird der PEB angezeigt, der dem aktuellen Prozesskontext entspricht.
DLL
Exts.dll
Zusätzliche Informationen
Informationen über Prozessumgebungsblöcke finden Sie unter Microsoft Windows Internals von Mark Russinovich und David Solomon.
Hinweise
Die PEB ist der Benutzermodus-Teil der Prozesskontrollstrukturen von Microsoft Windows.
Wenn die Erweiterung !peb ohne Argument einen Fehler im Kernelmodus ergibt, sollten Sie die Erweiterung !process verwenden, um die PEB-Adresse für den gewünschten Prozess zu ermitteln. Stellen Sie sicher, dass Ihr Prozesskontext auf den gewünschten Prozess eingestellt ist, und verwenden Sie dann die PEB-Adresse als Argument für !peb.
Die genaue Ausgabe, die angezeigt wird, hängt von der Windows-Version ab und davon, ob Sie im Kernelmodus oder im Benutzer-Modus debuggen. Das folgende Beispiel stammt von einem Kernel-Debugger, der an ein Windows Server 2003-Ziel angeschlossen ist:
kd> !peb
PEB at 7ffdf000
InheritedAddressSpace: No
ReadImageFileExecOptions: No
BeingDebugged: No
ImageBaseAddress: 4ad00000
Ldr 77fbe900
Ldr.Initialized: Yes
Ldr.InInitializationOrderModuleList: 00241ef8 . 00242360
Ldr.InLoadOrderModuleList: 00241e90 . 00242350
Ldr.InMemoryOrderModuleList: 00241e98 . 00242358
Base TimeStamp Module
4ad00000 3d34633c Jul 16 11:17:32 2002 D:\WINDOWS\system32\cmd.exe
77f40000 3d346214 Jul 16 11:12:36 2002 D:\WINDOWS\system32\ntdll.dll
77e50000 3d3484ef Jul 16 13:41:19 2002 D:\WINDOWS\system32\kernel32.dll
....
SubSystemData: 00000000
ProcessHeap: 00140000
ProcessParameters: 00020000
WindowTitle: "'D:\Documents and Settings\Administrator\Desktop\Debuggers.lnk'"
ImageFile: 'D:\WINDOWS\system32\cmd.exe'
CommandLine: '"D:\WINDOWS\system32\cmd.exe" '
DllPath: 'D:\WINDOWS\system32;D:\WINDOWS\system32;....
Environment: 00010000
ALLUSERSPROFILE=D:\Documents and Settings\All Users
APPDATA=D:\Documents and Settings\UserTwo\Application Data
CLIENTNAME=Console
....
windir=D:\WINDOWS
Die ähnliche Erweiterung !teb zeigt den Thread-Umgebungsblock an.