windbg學習---!process

時間  2019-11-20
標籤 windbg 學習 process 简体版
原文   原文鏈接

!process 0 0 顯示進程列表:spa

kd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.
    Image: System

PROCESS 8241d490  SessionId: none  Cid: 0178    Peb: 7ffdf000  ParentCid: 0004
    DirBase: 02b40040  ObjectTable: e148a4a0  HandleCount:  19.
    Image: smss.exe

PROCESS 824d6268  SessionId: 0  Cid: 0264    Peb: 7ffd4000  ParentCid: 0178
    DirBase: 02b40060  ObjectTable: e148fa18  HandleCount: 383.
    Image: csrss.exe
....
!process XXX顯示指定進程的全部信息, !process XXX 0顯示指定進程的基本信息

XXX能夠爲EPROCESS或進程IDcode

kd> !process @$proc 0
PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.
    Image: System

kd> !process 4 0
Searching for Process with Cid == 4
Cid Handle table at e1005000 with 366 Entries in use
PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.
    Image: System
!process 0 0 XXX.exe查找進程 

kd> !process 0 0  smss.exe
PROCESS 8241d490  SessionId: none  Cid: 0178    Peb: 7ffdf000  ParentCid: 0004
    DirBase: 02b40040  ObjectTable: e148a4a0  HandleCount:  19.
    Image: smss.exe

kd> !process 0 0 system
PROCESS 825b7830  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 02b40020  ObjectTable: e1003e00  HandleCount: 254.
    Image: System

注意只有sytem,沒有sytem.exe!!! 

kd> !process 0 0 system.exe
上述命令是找不到的
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程