123456

摘要： !thread扩展显示目标系统中线程包括ETHREAD块在内的摘要信息。该命令只能在内核模式调试下使用!thread [-p] [-t] [Address [Flags]] -p 显示拥有该线程的进程的摘要信息。 -t 包含这个选项时，Address是线程ID，而不是线程地址。 Address 指定目标机上线程的16进制地址。如果Address为-1或省略，则表示当前线程。 Flags 指定显示的详细级别。Flags可以是下面这些位的任意组合。如果Flags为0，只会显示最少量的信息。默认为0x6：Bit 1 (0x2) 显示线程的等待状态。 Bit 2 (0x4) 如果不和Bit 1(0x2 阅读全文

摘要： .process 命令指定要用作进程上下文的进程(Set Process Context).process显示当前进程的EPROCESS，这里显示当前进程为test.exekd> .processImplicit process is now 821f5da0kd> ? @$procEvaluate expression: -2111873632 = 821f5da0kd> !process 821f5da0 0PROCESS 821f5da0 SessionId: 0 Cid: 06e8 Peb: 7ffde000 ParentCid: 0620 DirBase: 02b4 阅读全文

摘要： !process 0 0 显示进程列表：kd> !process 0 0**** NT ACTIVE PROCESS DUMP ****PROCESS 825b7830 SessionId: none Cid: 0004 Peb: 00000000 ParentCid: 0000 DirBase: 02b40020 ObjectTable: e1003e00 HandleCount: 254. Image: SystemPROCESS 8241d490 SessionId: none Cid: 0178 Peb: 7ffdf000 ParentCid: ... 阅读全文

摘要： !idt扩展显示指定的中断分配表(interrupt dispatch table (IDT))中的中断服务例程(interrupt service routine (ISR))-a 没有指定IDT时，会以简短的格式显示目标机上所有处理器的IDT。如果指定了-a，则显示所有IDT的ISR。 简短方式：kd> !idtDumping IDT:37: 806e6864 hal!PicSpuriousService373d: 806e7e2c hal!HalpApcInterrupt41: 806e7c88 hal!HalpDispatchInterrupt50: 806e693c hal!H 阅读全文