WinDbg 命令学习 - !list
2013-10-12 10:48
288 查看
来自http://bbs.pediy.com/showthread.php?t=43835
Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。
比如查看系统中的所有进程:
lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_EPROCESS, ActiveProcessLinks))" poi(nt!PsActiveProcessHead)
+0x084 UniqueProcessId : 0x00000004
+0x174 ImageFileName : [16] "System"
+0x084 UniqueProcessId : 0x00000270
+0x174 ImageFileName : [16] "SMSS.EXE"
+0x084 UniqueProcessId : 0x000002ac
+0x174 ImageFileName : [16] "CSRSS.EXE"
+0x084 UniqueProcessId : 0x000002c4
+0x174 ImageFileName : [16] "WINLOGON.EXE"
+0x084 UniqueProcessId : 0x000002f0
+0x174 ImageFileName : [16] "SERVICES.EXE"
+0x084 UniqueProcessId : 0x00000314
+0x174 ImageFileName : [16] "LSASS.EXE"
+0x084 UniqueProcessId : 0x000003a4
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000003f8
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000005ec
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x00000658
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000006f0
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000000c8
+0x174 ImageFileName : [16] "SPOOLSV.EXE"
+0x084 UniqueProcessId : 0x00000298
+0x174 ImageFileName : [16] "MDM.EXE"
+0x084 UniqueProcessId : 0x00000484
+0x174 ImageFileName : [16] "WGATRAY.EXE"
+0x084 UniqueProcessId : 0x00000494
+0x174 ImageFileName : [16] "EXPLORER.EXE"
+0x084 UniqueProcessId : 0x0000056c
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000005d4
+0x174 ImageFileName : [16] "vmware-authd.ex"
+0x084 UniqueProcessId : 0x000006b0
+0x174 ImageFileName : [16] "VMOUNT2.EXE"
+0x084 UniqueProcessId : 0x00000700
+0x174 ImageFileName : [16] "VMNAT.EXE"
+0x084 UniqueProcessId : 0x000007a8
+0x174 ImageFileName : [16] "VMNETDHCP.EXE"
+0x084 UniqueProcessId : 0x00000448
+0x174 ImageFileName : [16] "HKCMD.EXE"
+0x084 UniqueProcessId : 0x000004dc
+0x174 ImageFileName : [16] "IGFXPERS.EXE"
+0x084 UniqueProcessId : 0x00000578
+0x174 ImageFileName : [16] "SOUNDMAN.EXE"
+0x084 UniqueProcessId : 0x00000590
+0x174 ImageFileName : [16] "daemon.exe"
......
如果需要执行多条命令,则把每条命令用分号隔开,把 !list 命令的整个参数用双引号括起来。
Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。
比如查看系统中的所有进程:
lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_EPROCESS, ActiveProcessLinks))" poi(nt!PsActiveProcessHead)
+0x084 UniqueProcessId : 0x00000004
+0x174 ImageFileName : [16] "System"
+0x084 UniqueProcessId : 0x00000270
+0x174 ImageFileName : [16] "SMSS.EXE"
+0x084 UniqueProcessId : 0x000002ac
+0x174 ImageFileName : [16] "CSRSS.EXE"
+0x084 UniqueProcessId : 0x000002c4
+0x174 ImageFileName : [16] "WINLOGON.EXE"
+0x084 UniqueProcessId : 0x000002f0
+0x174 ImageFileName : [16] "SERVICES.EXE"
+0x084 UniqueProcessId : 0x00000314
+0x174 ImageFileName : [16] "LSASS.EXE"
+0x084 UniqueProcessId : 0x000003a4
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000003f8
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000005ec
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x00000658
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000006f0
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000000c8
+0x174 ImageFileName : [16] "SPOOLSV.EXE"
+0x084 UniqueProcessId : 0x00000298
+0x174 ImageFileName : [16] "MDM.EXE"
+0x084 UniqueProcessId : 0x00000484
+0x174 ImageFileName : [16] "WGATRAY.EXE"
+0x084 UniqueProcessId : 0x00000494
+0x174 ImageFileName : [16] "EXPLORER.EXE"
+0x084 UniqueProcessId : 0x0000056c
+0x174 ImageFileName : [16] "SVCHOST.EXE"
+0x084 UniqueProcessId : 0x000005d4
+0x174 ImageFileName : [16] "vmware-authd.ex"
+0x084 UniqueProcessId : 0x000006b0
+0x174 ImageFileName : [16] "VMOUNT2.EXE"
+0x084 UniqueProcessId : 0x00000700
+0x174 ImageFileName : [16] "VMNAT.EXE"
+0x084 UniqueProcessId : 0x000007a8
+0x174 ImageFileName : [16] "VMNETDHCP.EXE"
+0x084 UniqueProcessId : 0x00000448
+0x174 ImageFileName : [16] "HKCMD.EXE"
+0x084 UniqueProcessId : 0x000004dc
+0x174 ImageFileName : [16] "IGFXPERS.EXE"
+0x084 UniqueProcessId : 0x00000578
+0x174 ImageFileName : [16] "SOUNDMAN.EXE"
+0x084 UniqueProcessId : 0x00000590
+0x174 ImageFileName : [16] "daemon.exe"
......
如果需要执行多条命令,则把每条命令用分号隔开,把 !list 命令的整个参数用双引号括起来。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- windbg学习进阶之——dump分析常用命令收集
- Windbg命令学习11(.dump)
- windbg命令学习2
- 方便的 windbg 命令 - !list
- Windbg命令学习2(!sym和.reload)
- Windbg命令学习6(!runaway和~)
- Windbg命令学习6(k和x)
- 学习使用常用的windbg命令(u、dt、ln、x)
- 命令线程windbg之使用!list指令遍历双向链表
- Redis学习笔记(二)--list结构及命令详解
- 每天学习一个LINUX命令:ls 目录列表(list 清单目录 名单)
- 学习使用常用的windbg命令(u、dt、ln、x)
- Windbg命令学习15(bp bm bu bl bc ba断点)
- 学习 emacs(一)[一些命令和 emacs lisp,list 的介绍]
- WinDbg学习笔记九 - 内核调试常用命令3 - 线程相关
- redis源码分析(四)、redis命令学习总结—链表List
- 学习使用常用的windbg命令(u、dt、ln、x)
- windbg命令学习1
- redis系列:通过队列案例学习list命令
- Windbg命令学习13(ln和伪寄存器)