Поделиться через

!peb

  • Статья

Расширение !peb отображает форматируемое представление сведений в блоке среды процесса (PEB).

!peb [PEB-Address]

Параметры

PEB-Address
Шестнадцатеричный адрес процесса, peB которого требуется проверить. (Это не адрес PEB, производный от блока процесса ядра для процесса.) Если PEB-Address опущен в пользовательском режиме, используется PEB для текущего процесса. Если он опущен в режиме ядра, отображается PEB, соответствующий текущему контексту процесса.

DLL-библиотеки

Exts.dll

Дополнительная информация

Сведения о блоках среды обработки см. в разделе "Внутренние компоненты Microsoft Windows" МаркОм Руссиновичем и Дэвидом Соломоном.

Замечания

PEB — это часть структур управления процессами Microsoft Windows в пользовательском режиме.

Если расширение !peb без аргумента дает ошибку в режиме ядра, следует использовать расширение !process для определения адреса PEB для требуемого процесса. Убедитесь, что контекст процесса задан для требуемого процесса, а затем используйте PEB-адрес в качестве аргумента для !peb.

Точные выходные данные зависят от версии Windows и от того, выполняется ли отладка в режиме ядра или пользовательском режиме. Следующий пример взят из отладчика ядра, подключенного к целевому объекту Windows Server 2003:

kd> !peb
PEB at 7ffdf000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            No
    ImageBaseAddress:         4ad00000
    Ldr                       77fbe900
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 00241ef8 . 00242360
    Ldr.InLoadOrderModuleList:           00241e90 . 00242350
    Ldr.InMemoryOrderModuleList:         00241e98 . 00242358
            Base TimeStamp                     Module
        4ad00000 3d34633c Jul 16 11:17:32 2002 D:\WINDOWS\system32\cmd.exe
        77f40000 3d346214 Jul 16 11:12:36 2002 D:\WINDOWS\system32\ntdll.dll
        77e50000 3d3484ef Jul 16 13:41:19 2002 D:\WINDOWS\system32\kernel32.dll
....
    SubSystemData:     00000000
    ProcessHeap:       00140000
    ProcessParameters: 00020000
    WindowTitle: "'D:\Documents and Settings\Administrator\Desktop\Debuggers.lnk'"
    ImageFile:    'D:\WINDOWS\system32\cmd.exe'
    CommandLine:  '"D:\WINDOWS\system32\cmd.exe" '
    DllPath:      'D:\WINDOWS\system32;D:\WINDOWS\system32;....
    Environment:  00010000
        ALLUSERSPROFILE=D:\Documents and Settings\All Users
        APPDATA=D:\Documents and Settings\UserTwo\Application Data
        CLIENTNAME=Console
....
        windir=D:\WINDOWS

Аналогичное расширение !teb отображает блок среды потока.