!findthreads
!findthreads 延伸模組會根據提供的搜尋準則,顯示目標系統上一或多個線程的摘要資訊。 當相關聯的堆疊參考提供的物件時,將會顯示線程資訊。 此命令只能在內核模式偵錯期間使用。
語法
!findthreads [-v][-t <Thread Address>|-i <IRP Address>|-d <Device Address>|( -a <Pointer Address> -e <End Address> | -l <Range Length>)]
參數
-v
顯示所有準則相符項目的詳細資訊。
-t **** 線程位址
搜尋準則會是線程的所有模組、等候物件和 IRP,以及從連結的 IRP 產生的裝置物件和模組。 此選項通常會提供最廣泛的搜尋準則。
-我 **** IRP 位址
搜尋準則會是所指示 IRP 的所有模組和裝置,以及 IRP 本身的任何參考。
-d **** 裝置位址
搜尋準則會以裝置對象為基礎。 這包括與裝置對象相關聯的模組(透過驅動程序物件)、裝置擴充功能、連結至裝置的任何 IRP,以及任何附加至裝置物件的類似資訊。
-一個 **** 指標位址
將基位址新增至準則。 如果已正確指定 -e 或 -l,此值將會是記憶體範圍的基底。 否則,它會解譯為指標。
-e **** 結束位址
指定以 -a 指定之內存範圍的結束位址。
-l **** 範圍長度
指定以 -a 指定的記憶體範圍長度。
DLL
Windows 10 和更新版本
Kdexts.dll
其他資訊
如需核心模式中線程的相關信息,請參閱 變更內容。 如需分析進程和線程的詳細資訊,請參閱 Mark Russinovich 和 David 所羅門Microsoft Windows 內部。
備註
以下是使用 -v 和 -t 選項的範例輸出:
kd> !findthreads -v -t ffffd001ee29cdc0
Added criterion for THREAD 0xffffd001ee29cdc0
Added criterion for THREAD STACK 0xffffd001ee2bac20
ERROR: Object 0xffffffffffffffe0 is not an IRP
ERROR: unable to completely walk thread IRP list.
Added criterion for MODULE kdnic(0xfffff80013120000)
Found 63 threads matching the search criteria
Found 6 criteria matches for THREAD 0xffffe0016a383740, PROCESS 0xffffe0016a220200
Kernel stack location 0xffffd001f026a0c0 references THREAD 0xffffd001ee29cdc0
Kernel stack location 0xffffd001f026a418 references THREAD 0xffffd001ee29cdc0
Kernel stack location 0xffffd001f026a460 references THREAD 0xffffd001ee29cdc0
Kernel stack location 0xffffd001f026a4d0 references THREAD 0xffffd001ee29cdc0
Kernel stack location 0xffffd001f026a4f0 references THREAD 0xffffd001ee29cdc0
Kernel stack location 0xffffd001f026a670 references THREAD 0xffffd001ee29cdc0
ffffd001f026a0e0 nt!KiSwapContext+76
ffffd001f026a190 nt!KiSwapThread+1c8
ffffd001f026a220 nt!KiCommitThreadWait+148
ffffd001f026a2e0 nt!KeWaitForMultipleObjects+21e
ffffd001f026a800 nt!ObWaitForMultipleObjects+2b7
ffffd001f026aa80 nt!NtWaitForMultipleObjects+f6
000000c8d220fa98 nt!KiSystemServiceCopyEnd+13
000000c8d220fa98 ntdll!ZwWaitForMultipleObjects+a
...