!peb

  • Artigo

A extensão !peb mostra uma exibição formatada das informações no bloco de ambiente de processo (PEB).

!peb [PEB-Address]

Parâmetros

Endereço PEB
O endereço hexadecimal do processo cujo PEB você quer examinar. (Este não é o endereço do PEB como derivado do bloco de processo do kernel para o processo.) Se PEB-Address for omitido no modo de usuário, será usado o PEB para o processo atual. Se ele for omitido no modo kernel, será exibido o PEB correspondente ao contexto de processo atual.

DLL

Exts.dll

Informações Adicionais

Para informações sobre blocos de ambiente de processo, consulte o livro Microsoft Windows Internals de Mark Russinovich e David Solomon.

Comentários

O PEB é a parte do modo de usuário das estruturas de controle de processo do Microsoft Windows.

Se a extensão !peb sem argumento fornecer um erro no modo kernel, será necessário usar a extensão !process para determinar o endereço PEB para o processo desejado. Verifique se o contexto de processo está definido como o processo desejado e use o endereço PEB como o argumento para !peb.

A saída exata exibida depende da versão do Windows e se a depuração é no modo kernel ou no modo de usuário. O exemplo a seguir é retirado de um depurador de kernel conectado a um destino do Windows Server 2003:

kd> !peb
PEB at 7ffdf000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            No
    ImageBaseAddress:         4ad00000
    Ldr                       77fbe900
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 00241ef8 . 00242360
    Ldr.InLoadOrderModuleList:           00241e90 . 00242350
    Ldr.InMemoryOrderModuleList:         00241e98 . 00242358
            Base TimeStamp                     Module
        4ad00000 3d34633c Jul 16 11:17:32 2002 D:\WINDOWS\system32\cmd.exe
        77f40000 3d346214 Jul 16 11:12:36 2002 D:\WINDOWS\system32\ntdll.dll
        77e50000 3d3484ef Jul 16 13:41:19 2002 D:\WINDOWS\system32\kernel32.dll
....
    SubSystemData:     00000000
    ProcessHeap:       00140000
    ProcessParameters: 00020000
    WindowTitle: "'D:\Documents and Settings\Administrator\Desktop\Debuggers.lnk'"
    ImageFile:    'D:\WINDOWS\system32\cmd.exe'
    CommandLine:  '"D:\WINDOWS\system32\cmd.exe" '
    DllPath:      'D:\WINDOWS\system32;D:\WINDOWS\system32;....
    Environment:  00010000
        ALLUSERSPROFILE=D:\Documents and Settings\All Users
        APPDATA=D:\Documents and Settings\UserTwo\Application Data
        CLIENTNAME=Console
....
        windir=D:\WINDOWS

A extensão !teb semelhante exibe o bloco de ambiente de thread.