Compartilhar via

!teb

  • Artigo

A extensão !teb mostra uma exibição formatada das informações no bloco de ambiente de thread (TEB).

!teb [TEB-Address]

\Parameters

Endereço TEB
O endereço hexadecimal do thread cujo TEB você quer examinar. (Este não é o endereço do TEB como derivado do bloco de thread do kernel para o thread.) Se TEB-Address for omitido no modo de usuário, será usado o TEB para o thread atual. Se ele for omitido no modo kernel, o TEB correspondente ao contexto de registro atual será exibido.

DLL

Exts.dll

Informações Adicionais

Para obter informações sobre blocos de ambiente de thread, consulte Microsoft Windows Internals de Mark Russinovich e David Solomon.

Comentários

O TEB é a parte do modo de usuário das estruturas de controle de thread do Microsoft Windows.

Se a extensão !teb sem argumento fornecer um erro no modo kernel, você deve usar a extensão !process para determinar o endereço TEB para o thread desejado. Verifique se o contexto de registro está definido como o thread desejado e use o endereço TEB como argumento para !teb.

Segue um exemplo da saída deste comando no modo de usuário:

0:001> ~
   0  id: 324.458   Suspend: 1 Teb 7ffde000 Unfrozen
.  1  id: 324.48c   Suspend: 1 Teb 7ffdd000 Unfrozen

0:001> !teb 
TEB at 7FFDD000
    ExceptionList:    76ffdc
    Stack Base:       770000
    Stack Limit:      76f000
    SubSystemTib:     0
 FiberData:        1e00
    ArbitraryUser:    0
    Self:             7ffdd000
    EnvironmentPtr:   0
 ClientId:         324.48c
    Real ClientId:    324.48c
    RpcHandle:        0
    Tls Storage:      0
    PEB Address:      7ffdf000
    LastErrorValue:   0
    LastStatusValue:  0
    Count Owned Locks:0
    HardErrorsMode:   0

A extensão similar !peb exibe o bloco de ambiente de processo.