!teb
A extensão !teb mostra uma exibição formatada das informações no bloco de ambiente de thread (TEB).
!teb [TEB-Address]
\Parameters
TEB-Endereço
O endereço hexadecimal do thread cujo TEB você quer examinar. (Este não é o endereço do TEB como derivado do bloco de thread do kernel para o thread.) Se TEB-Address for omitido no modo de usuário, será usado o TEB para o thread atual. Se ele for omitido no modo kernel, o TEB correspondente ao contexto de registro atual será exibido.
DLL
Exts.dll
Informações Adicionais
Para obter informações sobre blocos de ambiente de thread, consulte Microsoft Windows Internals de Mark Russinovich e David Solomon.
Comentários
O TEB é a parte do modo de usuário das estruturas de controle de thread do Microsoft Windows.
Se a extensão !teb sem argumento fornecer um erro no modo kernel, você deve usar a extensão !process para determinar o endereço TEB para o thread desejado. Verifique se o contexto de registro está definido como o thread desejado e use o endereço TEB como argumento para !teb.
Segue um exemplo da saída deste comando no modo de usuário:
0:001> ~
0 id: 324.458 Suspend: 1 Teb 7ffde000 Unfrozen
. 1 id: 324.48c Suspend: 1 Teb 7ffdd000 Unfrozen
0:001> !teb
TEB at 7FFDD000
ExceptionList: 76ffdc
Stack Base: 770000
Stack Limit: 76f000
SubSystemTib: 0
FiberData: 1e00
ArbitraryUser: 0
Self: 7ffdd000
EnvironmentPtr: 0
ClientId: 324.48c
Real ClientId: 324.48c
RpcHandle: 0
Tls Storage: 0
PEB Address: 7ffdf000
LastErrorValue: 0
LastStatusValue: 0
Count Owned Locks:0
HardErrorsMode: 0
A extensão similar !peb exibe o bloco de ambiente de processo.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de