Condividi tramite

!Teb

  • Articolo

L'estensione !teb visualizza una visualizzazione formattata delle informazioni nel blocco di ambiente thread (TEB).

!teb [TEB-Address]

\Parametri

Indirizzo TEB
Indirizzo esadecimale del thread di cui si vuole esaminare teB. Questo non è l'indirizzo del TEB come derivato dal blocco di thread del kernel per il thread. Se TEB-Address viene omesso in modalità utente, viene usato il TEB per il thread corrente. Se viene omesso in modalità kernel, viene visualizzato il TEB corrispondente al contesto del registro corrente.

DLL

Exts.dll

Informazioni aggiuntive

Per informazioni sui blocchi di ambiente dei thread, vedere Microsoft Windows Internals di Mark Russinovich e David Solomon.

Osservazioni:

TEB è la parte in modalità utente delle strutture di controllo dei thread di Microsoft Windows.

Se l'estensione !teb senza argomenti restituisce un errore in modalità kernel, è necessario usare l'estensione !process per determinare l'indirizzo TEB per il thread desiderato. Assicurarsi che il contesto del registro sia impostato sul thread desiderato e quindi usare l'indirizzo TEB come argomento per !teb.

Di seguito è riportato un esempio dell'output di questo comando in modalità utente:

0:001> ~
   0  id: 324.458   Suspend: 1 Teb 7ffde000 Unfrozen
.  1  id: 324.48c   Suspend: 1 Teb 7ffdd000 Unfrozen

0:001> !teb 
TEB at 7FFDD000
    ExceptionList:    76ffdc
    Stack Base:       770000
    Stack Limit:      76f000
    SubSystemTib:     0
 FiberData:        1e00
    ArbitraryUser:    0
    Self:             7ffdd000
    EnvironmentPtr:   0
 ClientId:         324.48c
    Real ClientId:    324.48c
    RpcHandle:        0
    Tls Storage:      0
    PEB Address:      7ffdf000
    LastErrorValue:   0
    LastStatusValue:  0
    Count Owned Locks:0
    HardErrorsMode:   0

L'estensione !peb simile visualizza il blocco di ambiente del processo.