!vad
Die Erweiterung !vad zeigt Details eines virtuellen Adressdeskriptors (VAD) oder eines Baumes von VADs an.
- Zeigt Details zu einem virtuellen Adressdeskriptor (VAD) an
- Zeigt Details zu einem Baum von VADs an.
- Zeigt Informationen über die VADs für ein bestimmtes Benutzermodusmodul an und liefert eine Zeichenfolge, mit der Sie die Symbole für dieses Modul laden können.
!vad VAD-Root [Flag]
!vad Address 1
Parameter
VAD-Root
Adresse der Wurzel des anzuzeigenden VAD-Baums.
Flagge
Gibt an, in welcher Form die Anzeige erfolgt. Mögliche Werte sind:
0
Der gesamte VAD-Baum, der auf VAD-Root basiert, wird angezeigt. (Dies ist die Standardeinstellung.)
1
Es wird nur der durch VAD-Root angegebene VAD angezeigt. Die Anzeige wird eine ausführlichere Analyse enthalten.
Adresse
Adresse im virtuellen Adressbereich eines User-Mode-Moduls.
DLL
Kdexts.dll
Zusätzliche Informationen
Informationen über virtuelle Adressdeskriptoren finden Sie unter Microsoft Windows Internals, von Mark Russinovich und David Solomon.
Hinweise
Die Adresse der Wurzel des VAD für einen beliebigen Prozess kann mit dem Befehl !process ermittelt werden.
Der Befehl !vad kann hilfreich sein, wenn Sie Symbole für ein User-Mode-Modul laden müssen, das aus dem Speicher ausgelagert wurde. Einzelheiten finden Sie unter Mapping Symbols When the PEB is Paged Out.
Hier ist ein Beispiel für die Erweiterung !vad:
kd> !vad 824bc2f8
VAD level start end commit
82741bf8 ( 1) 78000 78045 8 Mapped Exe EXECUTE_WRITECOPY
824ef368 ( 2) 7f6f0 7f7ef 0 Mapped EXECUTE_READ
824bc2f8 ( 0) 7ffb0 7ffd3 0 Mapped READONLY
8273e508 ( 2) 7ffde 7ffde 1 Private EXECUTE_READWRITE
82643fc8 ( 1) 7ffdf 7ffdf 1 Private EXECUTE_READWRITE
Total VADs: 5 average level: 2 maximum depth: 2
kd> !vad 824bc2f8 1
VAD @ 824bc2f8
Start VPN: 7ffb0 End VPN: 7ffd3 Control Area: 827f1208
First ProtoPte: e1008500 Last PTE e100858c Commit Charge 0 (0.)
Secured.Flink 0 Blink 0 Banked/Extend: 0 Offset 0
ViewShare NoChange READONLY
SecNoChange