Freigeben über

!peb

  • Artikel

Die Erweiterung !peb zeigt eine formatierte Ansicht der Informationen im Prozessumgebungsblock (PEB) an.

!peb [PEB-Address]

Parameter

PEB-Adresse
Die hexadezimale Adresse des Prozesses, dessen PEB Sie untersuchen möchten. (Dies ist nicht die Adresse des PEB, wie sie aus dem Kernel-Prozessblock für den Prozess abgeleitet ist) Wenn PEB-Address im Benutzermodus weggelassen wird, wird der PEB für den aktuellen Prozess verwendet. Wird er im Kernelmodus weggelassen, wird der PEB angezeigt, der dem aktuellen Prozesskontext entspricht.

DLL

Exts.dll

Zusätzliche Informationen

Informationen über Prozessumgebungsblöcke finden Sie unter Microsoft Windows Internals von Mark Russinovich und David Solomon.

Hinweise

Die PEB ist der Benutzermodus-Teil der Prozesskontrollstrukturen von Microsoft Windows.

Wenn die Erweiterung !peb ohne Argument einen Fehler im Kernelmodus ergibt, sollten Sie die Erweiterung !process verwenden, um die PEB-Adresse für den gewünschten Prozess zu ermitteln. Stellen Sie sicher, dass Ihr Prozesskontext auf den gewünschten Prozess eingestellt ist, und verwenden Sie dann die PEB-Adresse als Argument für !peb.

Die genaue Ausgabe, die angezeigt wird, hängt von der Windows-Version ab und davon, ob Sie im Kernelmodus oder im Benutzer-Modus debuggen. Das folgende Beispiel stammt von einem Kernel-Debugger, der an ein Windows Server 2003-Ziel angeschlossen ist:

kd> !peb
PEB at 7ffdf000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            No
    ImageBaseAddress:         4ad00000
    Ldr                       77fbe900
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 00241ef8 . 00242360
    Ldr.InLoadOrderModuleList:           00241e90 . 00242350
    Ldr.InMemoryOrderModuleList:         00241e98 . 00242358
            Base TimeStamp                     Module
        4ad00000 3d34633c Jul 16 11:17:32 2002 D:\WINDOWS\system32\cmd.exe
        77f40000 3d346214 Jul 16 11:12:36 2002 D:\WINDOWS\system32\ntdll.dll
        77e50000 3d3484ef Jul 16 13:41:19 2002 D:\WINDOWS\system32\kernel32.dll
....
    SubSystemData:     00000000
    ProcessHeap:       00140000
    ProcessParameters: 00020000
    WindowTitle: "'D:\Documents and Settings\Administrator\Desktop\Debuggers.lnk'"
    ImageFile:    'D:\WINDOWS\system32\cmd.exe'
    CommandLine:  '"D:\WINDOWS\system32\cmd.exe" '
    DllPath:      'D:\WINDOWS\system32;D:\WINDOWS\system32;....
    Environment:  00010000
        ALLUSERSPROFILE=D:\Documents and Settings\All Users
        APPDATA=D:\Documents and Settings\UserTwo\Application Data
        CLIENTNAME=Console
....
        windir=D:\WINDOWS

Die ähnliche Erweiterung !teb zeigt den Thread-Umgebungsblock an.