Бөлісу құралы:

Отладка CSRSS

Подсистема клиент-сервер Run-Time (CSRSS) — это процесс пользовательского режима, который контролирует базовый слой операционной системы Windows.

Примечание.

Начиная с Windows 10 CSRSS является защищенным процессом и может быть отлажен только в режиме ядра.

Общая информация о защищенных процессах, а также дополнительные сведения о критически важных кодах Windows, таких как wininit и csrss, представлена в книге Windows Internals от Павла Йосифовича, Марка Э. Руссиновича, Дэвида А. Соломона и Алекса Ионеску.

Отображение сведений о процессе CSRSS

Для проверки CSRSS некоторые сведения доступны с помощью отладки ядра.

Используйте расширение !process для отображения сведений о процессах, связанных с csrss.exe.

0: kd> !process 0 0 csrss.exe
PROCESS ffffe381a583b080
    SessionId: 0  Cid: 027c    Peb: e0c93ef000  ParentCid: 0270
    DirBase: 115478000  ObjectTable: ffffaa87786b67c0  HandleCount: 722.
    Image: csrss.exe

PROCESS ffffe381a68ab140
    SessionId: 1  Cid: 02f4    Peb: 186a447000  ParentCid: 02dc
    DirBase: 143c0e000  ObjectTable: ffffaa87786b5200  HandleCount: 445.
    Image: csrss.exe

Возьмите любой из связанных процессов и задайте контекст для этого расположения с помощью команды .process (Set Process Context).

0: kd> .process /r /p ffffe381a583b080
Implicit process is now ffffe381`a583b080
Loading User Symbols

Теперь используйте команду dt (Тип отображения) для отображения структуры процесса напрямую:

0: kd> dt csrss!_csr_process
   +0x000 ClientId         : _CLIENT_ID
   +0x010 ListLink         : _LIST_ENTRY
   +0x020 ThreadList       : _LIST_ENTRY
   +0x030 NtSession        : Ptr64 _CSR_NT_SESSION
   +0x038 ClientPort       : Ptr64 Void
   +0x040 ClientViewBase   : Ptr64 Char
   +0x048 ClientViewBounds : Ptr64 Char
   +0x050 ProcessHandle    : Ptr64 Void
   +0x058 SequenceNumber   : Uint4B
   +0x05c Flags            : Uint4B
   +0x060 DebugFlags       : Uint4B
   +0x064 ReferenceCount   : Int4B
   +0x068 ProcessGroupId   : Uint4B
   +0x06c ProcessGroupSequence : Uint4B
   +0x070 LastMessageSequence : Uint4B
   +0x074 NumOutstandingMessages : Uint4B
   +0x078 ShutdownLevel    : Uint4B
   +0x07c ShutdownFlags    : Uint4B
   +0x080 Luid             : _LUID
   +0x088 ServerDllPerProcessData : [1] Ptr64 Void

Расширение !peb можно использовать для отображения дополнительных сведений о блоке среды процесса (PEB).

  • Last updated on