通过

!vad

  • 项目

!vad 扩展显示虚拟地址描述符 (VAD) 或 VAD 树的详细信息。

  • 显示一个虚拟地址描述符 (VAD) 的详细信息
  • 显示 VAD 树的详细信息。
  • 显示有关特定用户模式模块的 VAD 信息,并提供用于加载该模块的符号的字符串。
!vad VAD-Root [Flag]
!vad Address 1

参数

VAD-Root
要显示的 VAD 树的根地址。


指定显示将采用的窗体。 可能的值包括:

0
将显示基于 VAD-Root 的整个 VAD 树。 (这是默认值。)

1
仅显示 VAD-Root 指定的 VAD。 显示将包含更详细的分析。

地址
用户模式模块的虚拟地址范围内的地址。

DLL

Kdexts.dll

其他信息

有关虚拟地址描述符的信息,请参阅 Microsoft Windows 内部资料(作者:Mark Russinovich 和 David Solomon)。

注解

使用 !process 命令可以找到任何进程的 VAD 根地址。

当需要为内存分页不足的用户模式模块加载符号时,!vad 命令会很有用。 有关详细信息,请参阅 PEB 分页时的映射符号

下面是 !vad 扩展的示例:

kd> !vad 824bc2f8
VAD     level      start      end    commit
82741bf8 ( 1)      78000    78045         8 Mapped  Exe  EXECUTE_WRITECOPY
824ef368 ( 2)      7f6f0    7f7ef         0 Mapped       EXECUTE_READ
824bc2f8 ( 0)      7ffb0    7ffd3         0 Mapped       READONLY
8273e508 ( 2)      7ffde    7ffde         1 Private      EXECUTE_READWRITE
82643fc8 ( 1)      7ffdf    7ffdf         1 Private      EXECUTE_READWRITE

Total VADs:     5  average level:    2  maximum depth: 2

kd> !vad 824bc2f8 1

VAD @ 824bc2f8
  Start VPN:         7ffb0  End VPN:    7ffd3  Control Area:  827f1208
  First ProtoPte: e1008500  Last PTE e100858c  Commit Charge         0 (0.)
  Secured.Flink          0  Blink           0  Banked/Extend:        0 Offset 0
   ViewShare NoChange READONLY

SecNoChange