!процесс
Расширение !process отображает сведения о указанном процессе или обо всех процессах, включая блок EPROCESS.
Это расширение можно использовать только во время отладки в режиме ядра.
Синтаксис
!process [/s Session] [/m Module] [Process [Flags]]
!process [/s Session] [/m Module] 0 Flags ImageName
Параметры
Сеанс /s ****
Указывает сеанс, принадлежащий требуемому процессу.
Модуль /m ****
Указывает модуль, который владеет требуемым процессом.
Процесс
Указывает шестнадцатеричный адрес или идентификатор процесса процесса на целевом компьютере.
Значение процесса определяет, отображается ли расширение !process адрес или идентификатор процесса. Если процесс опущен в любой версии Windows, отладчик отображает данные только о текущем системном процессе. Если параметр Process is 0 и ImageName опущен, отладчик отображает сведения обо всех активных процессах. Если для сведений о текущем процессе отображается значение -1.
Flags
Указывает уровень детализации для отображения. Флаги могут быть любым сочетанием следующих битов. Если флаги равно 0, отображается только минимальное количество сведений. Значение по умолчанию зависит от версии Windows и значения Process. Значение по умолчанию 0x3, если процесс опущен или если процесс равен 0 или -1; в противном случае значение по умолчанию 0xF.
Bit 0 (0x1)
Отображает статистику времени и приоритета.
Бит 1 (0x2)
Отображает список потоков и событий, связанных с процессом, и их состояния ожидания.
Бит 2 (0x4)
Отображает список потоков, связанных с процессом. Если это включается без бита 1 (0x2), каждый поток отображается в одной строке. Если это включается вместе с битом 1, каждый поток отображается с трассировкой стека.
Бит 3 (0x8)
Отображает возвращаемый адрес и указатель стека для каждой функции. Отображение аргументов функции отключается.
Бит 4 (0x10)
Задает контекст процесса, равный указанному процессу в течение этой команды. Это приводит к более точному отображению стека потоков. Так как этот флаг эквивалентен использованию .process /p /r для указанного процесса, будет удален любой существующий список модулей пользовательского режима. Если процесс равен нулю, отладчик отображает все процессы и контекст процесса изменяется для каждого из них. Если вы отображаете только один процесс и его состояние пользовательского режима уже обновлено (например, с .process /p /r), не обязательно использовать этот флаг. Этот флаг действует только при использовании с битом 0 (0x1).
ImageName
Указывает имя отображаемого процесса. Отладчик отображает все процессы, имена исполняемых изображений которых соответствуют ImageName. Имя изображения должно совпадать с именем в блоке EPROCESS. Как правило, это исполняемое имя, которое было вызвано для запуска процесса, включая расширение файла (обычно .exe), и усечено после пятнадцатого символа. Невозможно указать имя изображения, содержащее пробел. При указании ImageName процесс должен быть равен нулю.
DLL-библиотеки
Kdexts.dll
Дополнительная информация
Сведения о процессах в режиме ядра см. в разделе "Изменение контекстов". Дополнительные сведения об анализе процессов и потоков см. в разделе "Внутренние компоненты Microsoft Windows", марк Руссинович и Дэвид Соломон.
Замечания
Ниже приведен пример отображения !process 0 0 :
kd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 80a02a60 Cid: 0002 Peb: 00000000 ParentCid: 0000
DirBase: 00006e05 ObjectTable: 80a03788 TableSize: 150.
Image: System
PROCESS 80986f40 Cid: 0012 Peb: 7ffde000 ParentCid: 0002
DirBase: 000bd605 ObjectTable: 8098fce8 TableSize: 38.
Image: smss.exe
PROCESS 80958020 Cid: 001a Peb: 7ffde000 ParentCid: 0012
DirBase: 0008b205 ObjectTable: 809782a8 TableSize: 150.
Image: csrss.exe
PROCESS 80955040 Cid: 0020 Peb: 7ffde000 ParentCid: 0012
DirBase: 00112005 ObjectTable: 80955ce8 TableSize: 54.
Image: winlogon.exe
PROCESS 8094fce0 Cid: 0026 Peb: 7ffde000 ParentCid: 0020
DirBase: 00055005 ObjectTable: 80950cc8 TableSize: 222.
Image: services.exe
PROCESS 8094c020 Cid: 0029 Peb: 7ffde000 ParentCid: 0020
DirBase: 000c4605 ObjectTable: 80990fe8 TableSize: 110.
Image: lsass.exe
PROCESS 809258e0 Cid: 0044 Peb: 7ffde000 ParentCid: 0026
DirBase: 001e5405 ObjectTable: 80925c68 TableSize: 70.
Image: SPOOLSS.EXE
В следующей таблице описаны некоторые элементы выходных данных !process 0 0 .
| Элемент | Значение |
|---|---|
Адрес процесса |
Шестнадцатеричное число восьми символов после слова PROCESS — адрес блока EPROCESS. В последнем примере в предыдущем примере адрес процесса 0x809258E0. |
Идентификатор процесса (PID) |
Шестнадцатеричное число после слова Cid. В последнем примере в предыдущем примере идентификатор пин-кода 0x44 или десятичное значение 68. |
Блок среды обработки (PEB) |
Шестнадцатеричное число после слова Peb — адрес блока среды процесса. В заключительной записи в предыдущем примере PEB находится по адресу 0x7FFDE000. |
Родительский процесс PID |
Шестнадцатеричное число после слова ParentCid является идентификатором идентификатора родительского процесса. В последнем примере в предыдущем примере родительский процесс PID 0x26 или десятичное значение 38. |
Изображения |
Имя модуля, которому принадлежит процесс. В последнем примере в предыдущем примере владелец spoolss.exe. В первой записи владелец является самой операционной системой. |
Адрес объекта процесса |
Шестнадцатеричное число после слова ObjectTable. В последнем примере в предыдущем примере адрес объекта процесса 0x80925c68. |
Чтобы отобразить полные сведения об одном процессе, задайте для флагов значение 7. Сам процесс можно указать, установив "Процесс " равным адресу процесса, параметру Process равно идентификатору процесса или параметру ImageName равным имени исполняемого образа. Рассмотрим пример:
kd> !process fb667a00 7
PROCESS fb667a00 Cid: 0002 Peb: 00000000 ParentCid: 0000
DirBase: 00030000 ObjectTable: e1000f88 TableSize: 112.
Image: System
VadRoot fb666388 Clone 0 Private 4. Modified 9850. Locked 0.
FB667BBC MutantState Signalled OwningThread 0
Token e10008f0
ElapsedTime 15:06:36.0338
UserTime 0:00:00.0000
KernelTime 0:00:54.0818
QuotaPoolUsage[PagedPool] 1480
Working Set Sizes (now,min,max) (3, 50, 345)
PeakWorkingSetSize 118
VirtualSize 1 Mb
PeakVirtualSize 1 Mb
PageFaultCount 992
MemoryPriority BACKGROUND
BasePriority 8
CommitCharge 8
THREAD fb667780 Cid 2.1 Teb: 00000000 Win32Thread: 80144900 WAIT: (WrFreePage) KernelMode Non-Alertable
80144fc0 SynchronizationEvent
Not impersonating
Owning Process fb667a00
WaitTime (seconds) 32278
Context Switch Count 787
UserTime 0:00:00.0000
KernelTime 0:00:21.0821
Start Address Phase1Initialization (0x801aab44)
Initial Sp fb26f000 Current Sp fb26ed00
Priority 0 BasePriority 0 PriorityDecrement 0 DecrementCount 0
ChildEBP RetAddr Args to Child
fb26ed18 80118efc c0502000 804044b0 00000000 KiSwapThread+0xb5
fb26ed3c 801289d9 80144fc0 00000008 00000000 KeWaitForSingleObject+0x1c2
Обратите внимание, что адрес объекта процесса можно использовать в качестве входных данных для других расширений, таких как !handle, для получения дополнительных сведений.
В следующей таблице описаны некоторые элементы в предыдущем примере.
| Элемент | Значение |
|---|---|
| ЖДАТЬ | Скобка после этого заголовка дает причину ожидания. Команда dt nt!_KWAIT_REASON отобразит список всех причин ожидания. |
ElapsedTime |
Выводит список времени, истекшего с момента создания процесса. Это отображается в единицах часов:Minutes:Seconds.Milliseconds. |
UserTime |
Выводит список времени выполнения процесса в пользовательском режиме. Если значение UserTime является исключительно высоким, он может определить процесс, который истощает системные ресурсы. Единицы совпадают с единицами elapsedTime. |
KernelTime |
Выводит список времени выполнения процесса в режиме ядра. Если значение для KernelTime является исключительно высоким, он может определить процесс, который истощает системные ресурсы. Единицы совпадают с единицами elapsedTime. |
Размеры рабочих наборов |
Перечисляет текущий, минимальный и максимальный размер рабочего набора для процесса на страницах. Исключительно большой размер рабочего набора может быть признаком процесса утечки памяти или истощения системных ресурсов. |
Записи QuotaPoolUsage |
Выводит список страничного и непагированного пула, используемого процессом. В системе с утечкой памяти поиск чрезмерного использования непагрегированного пула во всех процессах можно определить, какой процесс имеет утечку памяти. |
Клонировать |
Указывает, был ли процесс создан подсистемами POSIX или Interix. |
Private |
Указывает количество частных (не совместно используемых) страниц, используемых в данный момент процессом. Это включает в себя как страницы, так и выстраивает память. |
Помимо сведений о списке процессов, сведения о потоке содержат список ресурсов, на которых блокируются потоки. Эти сведения перечислены в третьей строке выходных данных после заголовка потока. В этом примере поток имеет блокировку для одного ресурса, синхронизацииEvent с адресом 80144fc0. Сравнивая этот адрес со списком блокировок, отображаемых расширением !kdext*.locks , можно определить, какие потоки имеют монопольные блокировки для ресурсов.
Расширение !stacks содержит краткую сводку о состоянии каждого потока. Это можно использовать вместо расширения !process, чтобы получить краткий обзор системы, особенно при отладке многопоточных проблем, таких как конфликты ресурсов или взаимоблокировки.