!teb
!teb 扩展显示线程环境块 (TEB) 中信息的格式化视图。
!teb [TEB-Address]
\Parameters
TEB-Address
要检查其 TEB 的线程的十六进制地址。 (这不是派生自线程的内核线程块的 TEB 地址。)如果在用户模式下省略 TEB-Address,则使用当前线程的 TEB。 如果在内核模式下将其省略,则会显示与当前寄存器上下文对应的 TEB。
DLL
Exts.dll
其他信息
有关线程环境块的信息,请参阅 Mark Russinovich 和 David Solomon 编写的 Microsoft Windows 内部资料。
注解
TEB 是 Microsoft Windows 线程控制结构的用户模式部分。
如果没有参数的 !teb 扩展在内核模式下显示错误,则应使用 !process 扩展来确定所需线程的 TEB 地址。 确保将寄存器上下文设置为所需的线程,然后使用 TEB 地址作为 !teb 的参数。
下面是此命令在用户模式下的输出示例:
0:001> ~
0 id: 324.458 Suspend: 1 Teb 7ffde000 Unfrozen
. 1 id: 324.48c Suspend: 1 Teb 7ffdd000 Unfrozen
0:001> !teb
TEB at 7FFDD000
ExceptionList: 76ffdc
Stack Base: 770000
Stack Limit: 76f000
SubSystemTib: 0
FiberData: 1e00
ArbitraryUser: 0
Self: 7ffdd000
EnvironmentPtr: 0
ClientId: 324.48c
Real ClientId: 324.48c
RpcHandle: 0
Tls Storage: 0
PEB Address: 7ffdf000
LastErrorValue: 0
LastStatusValue: 0
Count Owned Locks:0
HardErrorsMode: 0
类似的 !peb 扩展显示进程环境块。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈