!sprocess
!sprocess 扩展显示有关指定会话进程的信息,或有关指定会话中的所有进程的信息。
!sprocess Session [Flags [ImageName]]
!sprocess -?
参数
会期
指定拥有所需进程的会话。 Session 始终被解释为十进制数。
Session 可具有以下值:
-1 |
使用当前会话。 这是默认情况。 |
-2 |
使用 session context。 |
-4 |
按会话显示所有进程。 |
标志
指定显示中的详细信息级别。 Flags 可以是以下位的任何组合。 默认值为 0。
0x0 |
显示最少的信息。 |
位 0 (0x1) |
显示时间和优先级统计信息。 |
位 1 (0x2) |
在显示中添加与进程和线程等待状态关联的线程和事件列表。 |
位 2 (0x4) |
在显示中添加与进程关联的线程列表。 如果未将此位与位 1 (0x2) 结合使用,则每个线程均显示在一行上。 如果将此位与位 1 结合使用,则显示每个线程以及堆栈跟踪。 |
位 3 (0x8) |
在每个函数的显示中添加返回地址、堆栈指针以及基于 Itanium 的系统上的 bsp 寄存器值。 它禁止显示函数参数。 |
位 4 (0x10) |
仅显示每个函数的返回地址。 取消参数和堆栈指针。 |
ImageName
指定要显示的进程的名称。 显示可执行映像名称与 ImageName 匹配的所有进程。 映像名称必须与 EPROCESS 块中的映像名称匹配。 通常,这是为启动进程而调用的可执行文件名,包括文件扩展名(通常为 .exe),并在第十五个字符后截断。 无法指定包含空格的映像名称。
-?
“调试器命令”窗口中显示此扩展的帮助。 此帮助文本存在一些遗漏。
DLL
Kdexts.dll
其他信息
有关内核模式下的会话和进程的信息,请参阅更改上下文。 有关分析进程和线程的详细信息,请参阅 Microsoft Windows 内部资料(作者:Mark Russinovich 和 David Solomon)。
注解
此扩展的输出与 !process 的输出类似,只是还显示 _MM_SESSION_SPACE and _MMSESSION 的地址。