首页
论坛
课程
招聘
[分享]方便的 windbg 命令 - !list
2007-5-3 20:27 9243

[分享]方便的 windbg 命令 - !list

2007-5-3 20:27
9243
Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。

比如查看系统中的所有进程:

lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_EPROCESS, ActiveProcessLinks))" poi(nt!PsActiveProcessHead)

   +0x084 UniqueProcessId : 0x00000004
   +0x174 ImageFileName   : [16]  "System"

   +0x084 UniqueProcessId : 0x00000270
   +0x174 ImageFileName   : [16]  "SMSS.EXE"

   +0x084 UniqueProcessId : 0x000002ac
   +0x174 ImageFileName   : [16]  "CSRSS.EXE"

   +0x084 UniqueProcessId : 0x000002c4
   +0x174 ImageFileName   : [16]  "WINLOGON.EXE"

   +0x084 UniqueProcessId : 0x000002f0
   +0x174 ImageFileName   : [16]  "SERVICES.EXE"

   +0x084 UniqueProcessId : 0x00000314
   +0x174 ImageFileName   : [16]  "LSASS.EXE"

   +0x084 UniqueProcessId : 0x000003a4
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x000003f8
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x000005ec
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x00000658
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x000006f0
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x000000c8
   +0x174 ImageFileName   : [16]  "SPOOLSV.EXE"

   +0x084 UniqueProcessId : 0x00000298
   +0x174 ImageFileName   : [16]  "MDM.EXE"

   +0x084 UniqueProcessId : 0x00000484
   +0x174 ImageFileName   : [16]  "WGATRAY.EXE"

   +0x084 UniqueProcessId : 0x00000494
   +0x174 ImageFileName   : [16]  "EXPLORER.EXE"

   +0x084 UniqueProcessId : 0x0000056c
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

   +0x084 UniqueProcessId : 0x000005d4
   +0x174 ImageFileName   : [16]  "vmware-authd.ex"

   +0x084 UniqueProcessId : 0x000006b0
   +0x174 ImageFileName   : [16]  "VMOUNT2.EXE"

   +0x084 UniqueProcessId : 0x00000700
   +0x174 ImageFileName   : [16]  "VMNAT.EXE"

   +0x084 UniqueProcessId : 0x000007a8
   +0x174 ImageFileName   : [16]  "VMNETDHCP.EXE"

   +0x084 UniqueProcessId : 0x00000448
   +0x174 ImageFileName   : [16]  "HKCMD.EXE"

   +0x084 UniqueProcessId : 0x000004dc
   +0x174 ImageFileName   : [16]  "IGFXPERS.EXE"

   +0x084 UniqueProcessId : 0x00000578
   +0x174 ImageFileName   : [16]  "SOUNDMAN.EXE"

   +0x084 UniqueProcessId : 0x00000590
   +0x174 ImageFileName   : [16]  "daemon.exe"

   ......

如果需要执行多条命令,则把每条命令用分号隔开,把 !list 命令的整个参数用双引号括起来。


[2022冬季班]《安卓高级研修班(网课)》月薪三万班招生中~

收藏
点赞0
打赏
分享
最新回复 (10)
雪    币: 200
活跃值: 活跃值 (187)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
KuNgBiM 活跃值 66 2007-9-20 15:40
2
0
學習WinDBG
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
拜月叔叔 活跃值 2007-9-20 15:56
3
0
这段时间楼主比这里所有人的写得都好,拜月叔叔很欣赏你。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
天线宝宝 活跃值 2007-9-20 15:59
4
0
真的有这么大么?
大么  大么
雪    币: 104
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
老纳 活跃值 2007-9-20 16:03
5
0
很 大  很 大
雪    币: 10880
活跃值: 活跃值 (3317)
能力值: ( LV15,RANK:2338 )
在线值:
发帖
回帖
粉丝
ccfer 活跃值 16 2007-9-20 16:04
6
0
每次看到这个ID我都会想起我以前的邻居喂大
喂大 喂大
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
拜月叔叔 活跃值 2007-9-20 16:32
7
0
ccfer 是谁喂大的,真的好大啊。
雪    币: 211
活跃值: 活跃值 (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
十三少 活跃值 2 2007-9-20 16:49
8
0
果然够大
雪    币: 100
活跃值: 活跃值 (36)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
小喂 活跃值 5 2007-9-20 20:42
9
0
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
拜月叔叔 活跃值 2007-9-20 21:24
10
0
回忆了一下历史,发现1.3这个数字跟小喂之间有一些联系。
雪    币: 111
活跃值: 活跃值 (81)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bbbsl 活跃值 2007-9-20 22:08
11
0
缅怀喂大ing。。。
游客
登录 | 注册 方可回帖
返回