Compartir a través de

!peb

  • Artículo

La extensión !peb muestra una vista con formato de la información en el bloque de entorno de procesos (PEB).

!peb [PEB-Address]

Parámetros

Dirección PEB
Dirección hexadecimal del proceso cuyo PEB desea examinar. (Esta no es la dirección del PEB como se deriva del bloque de procesos de kernel para el proceso). Si se omite PEB-Address en modo de usuario, se usa el PEB para el proceso actual. Si se omite en modo kernel, se muestra el PEB correspondiente al contexto de proceso actual.

Archivo DLL

Exts.dll

Información adicional

Para obtener información sobre los bloqueos de entorno de procesos, consulte Microsoft Windows Internals por Mark Russinovich y David Solomon.

Comentarios

PEB es la parte en modo de usuario de las estructuras de control de procesos de Microsoft Windows.

Si la extensión !peb sin argumento proporciona un error en el modo kernel, debe usar la extensión !process para determinar la dirección PEB del proceso deseado. Asegúrese de que el contexto de proceso esté establecido en el proceso deseado y, a continuación, use la dirección PEB como argumento para !peb.

La salida exacta que se muestra depende de la versión de Windows y de si está depurando en modo kernel o en modo de usuario. El siguiente ejemplo está tomado de un depurador de kernel conectado a un objetivo Windows Server 2003:

kd> !peb
PEB at 7ffdf000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            No
    ImageBaseAddress:         4ad00000
    Ldr                       77fbe900
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 00241ef8 . 00242360
    Ldr.InLoadOrderModuleList:           00241e90 . 00242350
    Ldr.InMemoryOrderModuleList:         00241e98 . 00242358
            Base TimeStamp                     Module
        4ad00000 3d34633c Jul 16 11:17:32 2002 D:\WINDOWS\system32\cmd.exe
        77f40000 3d346214 Jul 16 11:12:36 2002 D:\WINDOWS\system32\ntdll.dll
        77e50000 3d3484ef Jul 16 13:41:19 2002 D:\WINDOWS\system32\kernel32.dll
....
    SubSystemData:     00000000
    ProcessHeap:       00140000
    ProcessParameters: 00020000
    WindowTitle: "'D:\Documents and Settings\Administrator\Desktop\Debuggers.lnk'"
    ImageFile:    'D:\WINDOWS\system32\cmd.exe'
    CommandLine:  '"D:\WINDOWS\system32\cmd.exe" '
    DllPath:      'D:\WINDOWS\system32;D:\WINDOWS\system32;....
    Environment:  00010000
        ALLUSERSPROFILE=D:\Documents and Settings\All Users
        APPDATA=D:\Documents and Settings\UserTwo\Application Data
        CLIENTNAME=Console
....
        windir=D:\WINDOWS

La extensión similar !teb muestra el bloqueo de entorno de subproceso.