.imgscan(查找映像标头)
.imgscan 命令扫描虚拟内存,查找映像标头。
.imgscan [Options]
参数
Options 以下任一选项:
/r **** Range
指定要搜索的范围。 有关语法的详细信息,请参阅地址和地址范围语法。 如果只指定一个地址,调试器将搜索从该地址开始并扩展 0x10000 字节的范围。
/l
加载找到的任何映像标头的模块信息。
/v
显示详细信息。
环境
| 项 | 说明 |
|---|---|
| 模式 | 用户模式、内核模式 |
| 目标 | 实时、崩溃转储 |
| 平台 | 全部 |
注解
如果不使用 /r 参数,调试器将搜索所有虚拟内存区域。
.imgscan 命令显示它找到的任何映像标头和标头类型。 标头类型包括可移植可执行格式(PE)标头和 Microsoft MS-DOS MZ 标头。
以下为 .imgscan 命令的示例。
0:000> .imgscan
MZ at 00400000, prot 00000002, type 01000000 - size 2d000
MZ at 77f80000, prot 00000002, type 01000000 - size 7d000
Name: ntdll.dll
MZ at 7c570000, prot 00000002, type 01000000 - size b8000
Name: KERNEL32.dll