!teb
L’extension !teb affiche une vue mise en forme des informations dans le bloc d’environnement de thread (TEB).
!teb [TEB-Address]
\Parameters
TEB-Address
Adresse hexadécimale du thread dont vous souhaitez examiner le TEB. (Il ne s’agit pas de l’adresse du TEB telle qu'elle est dérivée du bloc de thread du noyau pour le thread.) Si TEB-Address est omise en mode utilisateur, le TEB du thread actuel est utilisé. Si le TEB est omis en mode noyau, le TEB correspondant au contexte de registre actuel s’affiche.
DLL
Exts.dll
Informations supplémentaires
Pour plus d’informations sur les blocs d’environnement de thread, consultez Microsoft Windows Internals (Au cœur de Windows) de Mark Russinovich et David Solomon.
Notes
Le TEB est la partie en mode utilisateur des structures de contrôle de thread Microsoft Windows.
Si l’extension !teb sans argument renvoie une erreur en mode noyau, vous devez utiliser l’extension !process pour déterminer l’adresse du TEB du thread souhaité. Vérifiez que votre contexte de registre est défini sur le thread souhaité, puis utilisez l’adresse du TEB comme argument pour !teb.
Voici un exemple de sortie de cette commande en mode utilisateur :
0:001> ~
0 id: 324.458 Suspend: 1 Teb 7ffde000 Unfrozen
. 1 id: 324.48c Suspend: 1 Teb 7ffdd000 Unfrozen
0:001> !teb
TEB at 7FFDD000
ExceptionList: 76ffdc
Stack Base: 770000
Stack Limit: 76f000
SubSystemTib: 0
FiberData: 1e00
ArbitraryUser: 0
Self: 7ffdd000
EnvironmentPtr: 0
ClientId: 324.48c
Real ClientId: 324.48c
RpcHandle: 0
Tls Storage: 0
PEB Address: 7ffdf000
LastErrorValue: 0
LastStatusValue: 0
Count Owned Locks:0
HardErrorsMode: 0
L'extension !peb similaire affiche le bloc d’environnement du processus.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour