共用方式為

對 CSRS 進行偵錯

  • 發行項

Client Server Run-Time 子系統 (CSRSS) 是控制 Windows 環境基礎層的使用者模式程式。

注意

從 Windows 10 開始,CSRSS 是受保護的進程,而且只能在核心模式中偵錯。

如需受保護程式的一般資訊,以及 Windows 受保護、重要程式碼的其他特定,例如 wininit 和 csrss,請參閱 Windows Internals by Pavel Yosifovich、Mark E. Russinovich、David A. 一文和 Alex Ionescu。

顯示 CSRSS 程式資訊

若要檢查 CSRSS,可以使用核心偵錯來取得一些資訊。

使用 !process 延伸模組來顯示與 csrss.exe 相關聯的進程相關資訊。

0: kd> !process 0 0 csrss.exe
PROCESS ffffe381a583b080
    SessionId: 0  Cid: 027c    Peb: e0c93ef000  ParentCid: 0270
    DirBase: 115478000  ObjectTable: ffffaa87786b67c0  HandleCount: 722.
    Image: csrss.exe

PROCESS ffffe381a68ab140
    SessionId: 1  Cid: 02f4    Peb: 186a447000  ParentCid: 02dc
    DirBase: 143c0e000  ObjectTable: ffffaa87786b5200  HandleCount: 445.
    Image: csrss.exe

使用 .process (設定進程內容) 命令,取得其中一個相關聯的進程,並將內容設定為該位置。

0: kd> .process /r /p ffffe381a583b080
Implicit process is now ffffe381`a583b080
Loading User Symbols

現在,使用 dt (Display Type) 命令直接顯示進程結構:

0: kd> dt csrss!_csr_process
   +0x000 ClientId         : _CLIENT_ID
   +0x010 ListLink         : _LIST_ENTRY
   +0x020 ThreadList       : _LIST_ENTRY
   +0x030 NtSession        : Ptr64 _CSR_NT_SESSION
   +0x038 ClientPort       : Ptr64 Void
   +0x040 ClientViewBase   : Ptr64 Char
   +0x048 ClientViewBounds : Ptr64 Char
   +0x050 ProcessHandle    : Ptr64 Void
   +0x058 SequenceNumber   : Uint4B
   +0x05c Flags            : Uint4B
   +0x060 DebugFlags       : Uint4B
   +0x064 ReferenceCount   : Int4B
   +0x068 ProcessGroupId   : Uint4B
   +0x06c ProcessGroupSequence : Uint4B
   +0x070 LastMessageSequence : Uint4B
   +0x074 NumOutstandingMessages : Uint4B
   +0x078 ShutdownLevel    : Uint4B
   +0x07c ShutdownFlags    : Uint4B
   +0x080 Luid             : _LUID
   +0x088 ServerDllPerProcessData : [1] Ptr64 Void

!peb延伸模組可用來顯示進程環境區塊的其他資訊, (PEB) 。