windbg 命令 - !list
Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。
比如查看系统中的所有进程:
lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_EPROCESS, ActiveProcessLinks))" poi(nt!PsActiveProcessHead)
+0x084 UniqueProcessId : 0x00000004
+0x174 ImageFileName : [16] "System"
+0x084 UniqueProcessId : 0x00000270
+0x174 ImageFileName : [16] "SMSS.EXE"
+0x084 UniqueProcessId : 0x000002ac
+0x174 ImageFileName : [16] "CSRSS.EXE"
+0x084 UniqueProcessId : 0x000002c4
+0x174 ImageFileName : [16] "WINLOGON.EXE"
+0x084 UniqueProcessId : 0x000002f0
+0x174 ImageFileName : [16] "SERVICES.EXE"
+0x084 UniqueProcessId : 0x00000314
+0x174 ImageFileName : [16] "LSASS.EXE"
+0x084 UniqueProcessId : 0x000003a4
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000003f8
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000005ec
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x00000658
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000006f0
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000000c8
+0x174 ImageFileName : [16] "SPOOLSV.EXE"
+0x084 UniqueProcessId : 0x00000298
+0x174 ImageFileName : [16] "MDM.EXE"
+0x084 UniqueProcessId : 0x00000484
+0x174 ImageFileName : [16] "WGATRAY.EXE"
+0x084 UniqueProcessId : 0x00000494
+0x174 ImageFileName : [16] "EXPLORER.EXE"
+0x084 UniqueProcessId : 0x0000056c
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000005d4
+0x174 ImageFileName : [16] "vmware-authd.ex"
+0x084 UniqueProcessId : 0x000006b0
+0x174 ImageFileName : [16] "VMOUNT2.EXE"
+0x084 UniqueProcessId : 0x00000700
+0x174 ImageFileName : [16] "VMNAT.EXE"
+0x084 UniqueProcessId : 0x000007a8
+0x174 ImageFileName : [16] "VMNETDHCP.EXE"
+0x084 UniqueProcessId : 0x00000448
+0x174 ImageFileName : [16] "HKCMD.EXE"
+0x084 UniqueProcessId : 0x000004dc
+0x174 ImageFileName : [16] "IGFXPERS.EXE"
+0x084 UniqueProcessId : 0x00000578
+0x174 ImageFileName : [16] "SOUNDMAN.EXE"
+0x084 UniqueProcessId : 0x00000590
+0x174 ImageFileName : [16] "daemon.exe"
......
如果需要执行多条命令,则把每条命令用分号隔开,把 !list 命令的整个参数用双引号括起来。
windbg 命令 - !list相关推荐
- WinDbg 命令三部曲:(一)WinDbg 命令手册
<WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册> <WinDbg 命令三部曲:(三)Wi ...
- WinDBG命令概览(上) - 标准命令
WinDBG命令概览(上) - 标准命令 WinDBG的大多数功能是以命令方式工作的, 本系列将介绍WinDBG的三类命令, 标准命令, 元命令和扩展命令. 标准命令 =============== ...
- WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册
本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDb ...
- windbg命令手册
一. WINDBG命令手册 调试准备 为了测试 WinDbg 中使用 SOS 扩展命令,我创建了应用程序 "MemoryLeakApp.exe",Visual Studio 程序选 ...
- Windbg命令学习9,经典死锁(!cs和~~[TID])
先上个代码,自己随手写的: #include <windows.h >CRITICAL_SECTION cs1; CRITICAL_SECTION cs2;DWORD __stdcall ...
- 学习使用常用的windbg命令(u、dt、ln、x)
http://blog.csdn.net/wesley2005/article/details/51501514 目录: (1) u命令(反汇编) (2) dt命令(查看数据结构) (3) ln命令( ...
- Windbg命令学习16(!gle和g和p)
1.!gle !gle 扩展显示当前线程的最后一个错误码. 这个太好记了,getlasterror取首字母: 0:002> !gle LastErrorValue: (Win32) 0 (0) ...
- WinDBG命令概览
转自: http://www.cnblogs.com/awpatp/ WinDBG的大多数功能是以命令方式工作的, 本系列将介绍WinDBG的三类命令, 标准命令, 元命令和扩展命令. ======= ...
- WinDbg命令dt的使用
(不是很全面.可以参考WinDbg的帮助文档.操作系统 win7 32) dt命令主要用来查看相关的变量,结构体等的信息,它配合一些参数使用可以 获取想要的信息. 使用dt命令查看结构体: lkd&g ...
- Windbg命令学习6(!runaway和~)
1.!runaway !runaway命令显示每个线程消费的时间 Bit 0 (0x1) 让调试器显示每个线程消耗的用户模式时间(user time),默认不加就是0x1Bit 1 (0x2) 显示每 ...
最新文章
- 【强连通分量】Proving Equivalences
- 网站描述怎么写?对网站优化有什么作用?
- Ubuntu 安装redis desktop manager
- 【多线程】C++11进行多线程开发 (std::thread)
- echarts中国地图线性动画特效
- 【转】RabbitMQ六种队列模式-2.工作队列模式
- 电脑c语言怎么调出来的,c语言系统源代码_C语言判断系统版本的代码怎样将值调出来啊...
- 复杂结构体的存取器 [C宏——智者的利刃,愚者的恶梦]
- MySQL事务处理特性的实现原理
- java 自己的 pid_Java获取自身PID方法搜集
- c语言鼠标游戏,c语言写的鼠标操作的五子棋游戏,欢迎观赏!
- STM32CubeMX HAL库+STM32F407+uCOS-III移植
- app上架小米应用商店流程
- 2022年1024程序员节日纪念
- 【Altium Designer 19使用教程】Part2 原理图的绘制
- Error: The required parameter ‘channelID‘ is empty. Rerun the command with -C flag
- R语言条形图的制作--barplot()
- 人工智能热潮_团结与增强现实热潮
- 两车相撞的力怎么计算_两车正面碰撞事故车辆行驶速度计算方法
- 硬盘数据如何恢复?电脑硬盘资料恢复,方法就是这么简单!