Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。

比如查看系统中的所有进程:

lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_EPROCESS, ActiveProcessLinks))" poi(nt!PsActiveProcessHead)

+0x084 UniqueProcessId : 0x00000004
   +0x174 ImageFileName   : [16]  "System"

+0x084 UniqueProcessId : 0x00000270
   +0x174 ImageFileName   : [16]  "SMSS.EXE"

+0x084 UniqueProcessId : 0x000002ac
   +0x174 ImageFileName   : [16]  "CSRSS.EXE"

+0x084 UniqueProcessId : 0x000002c4
   +0x174 ImageFileName   : [16]  "WINLOGON.EXE"

+0x084 UniqueProcessId : 0x000002f0
   +0x174 ImageFileName   : [16]  "SERVICES.EXE"

+0x084 UniqueProcessId : 0x00000314
   +0x174 ImageFileName   : [16]  "LSASS.EXE"

+0x084 UniqueProcessId : 0x000003a4
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000003f8
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000005ec
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x00000658
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000006f0
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000000c8
   +0x174 ImageFileName   : [16]  "SPOOLSV.EXE"

+0x084 UniqueProcessId : 0x00000298
   +0x174 ImageFileName   : [16]  "MDM.EXE"

+0x084 UniqueProcessId : 0x00000484
   +0x174 ImageFileName   : [16]  "WGATRAY.EXE"

+0x084 UniqueProcessId : 0x00000494
   +0x174 ImageFileName   : [16]  "EXPLORER.EXE"

+0x084 UniqueProcessId : 0x0000056c
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000005d4
   +0x174 ImageFileName   : [16]  "vmware-authd.ex"

+0x084 UniqueProcessId : 0x000006b0
   +0x174 ImageFileName   : [16]  "VMOUNT2.EXE"

+0x084 UniqueProcessId : 0x00000700
   +0x174 ImageFileName   : [16]  "VMNAT.EXE"

+0x084 UniqueProcessId : 0x000007a8
   +0x174 ImageFileName   : [16]  "VMNETDHCP.EXE"

+0x084 UniqueProcessId : 0x00000448
   +0x174 ImageFileName   : [16]  "HKCMD.EXE"

+0x084 UniqueProcessId : 0x000004dc
   +0x174 ImageFileName   : [16]  "IGFXPERS.EXE"

+0x084 UniqueProcessId : 0x00000578
   +0x174 ImageFileName   : [16]  "SOUNDMAN.EXE"

+0x084 UniqueProcessId : 0x00000590
   +0x174 ImageFileName   : [16]  "daemon.exe"

......

如果需要执行多条命令,则把每条命令用分号隔开,把 !list 命令的整个参数用双引号括起来。

详情 jpg 转 rar

[分享]方便的 windbg 命令 - !list的更多相关文章

  1. 分享一个常用Adb命令

    分享一个常用Adb命令 首先 首先感谢@xuxu的常用adb命令,收益良多,但是已经不能满足于我,所以补充了下. 再者 好久没发帖了,最近论坛老司机们都在讨论/总结,我就用这个干货回报吧. 最后 基于 ...

  2. WinDbg 命令三部曲:(一)WinDbg 命令手册

    本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDb ...

  3. WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册

    本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDb ...

  4. WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册

    本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDb ...

  5. windbg命令学习3

    3.进程与线程: 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息.调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺. 3.1. 进程命令 进程命令包括以下:显示进程 ...

  6. WinDbg 命令手册

    WinDbg 命令三部曲:(一)WinDbg 命令手册   本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部 ...

  7. WinDbg命令三部曲

    WinDbg 命令三部曲:(一)WinDbg 命令手册 WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册 WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册

  8. [日期工具分享][Shell]为特定命令依次传入顺序日期执行

    [日期工具分享][Shell]为特定命令依次传入顺序日期执行 使用方式: <本脚本文件名(必要时需要全路径)> <要执行的命令所在的文件名> <开始日期> < ...

  9. Windbg命令脚本流程控制语句详解

    在Windbg命令脚本一文里,我们介绍了命令脚本语言的的组成要素,在本文里将对语句进行展开的讲解.这些语句主要是流程控制的语句,比如我们常见的条件分子和循环语句等. ; (命令分隔符) 分号(:)字符 ...

随机推荐

  1. 纯css实现进度条效果

    去年7月份做一个公司商城的微信页面(微信用的chrome内核)需要写一个提示返现进度的进度条效果. 一个完整的进度条效果其实可以拆分一下: 一段背景: 一小段的静态的斜纹进度条: 斜纹进度条用线性渐变 ...

  2. map和object互相转换

    /** * 使用org.apache.commons.beanutils进行转换 */ class A { public static Object mapToObject(Map<String ...

  3. 树莓派Raspberry命令行配置无线网络连接

    前言: 树莓派有多种联网的方式,通过有线网或者通过无线网.通过有线网连接是比较简单的,在开启dhcp的路由器下,直接插上网线就可以联网,本文介绍树莓派无线联网的方式.再没联网的情况下,如果没有屏幕等外 ...

  4. fail-fast和fail-safe

    一:快速失败(fail—fast) 在用迭代器遍历一个集合对象时,如果遍历过程中对集合对象的内容进行了修改(增加.删除.修改),则会抛出Concurrent Modification Exceptio ...

  5. Windows下进程通信方式

    当线程分属于不同进程,也就是分驻在不同的地址空间时,它们之间的通讯需要跨越地址空间的边界,便得采取一些与同一进程中不同线程间通讯不同的方法.在Windows程序中,各个进程之间常常需要交换数据,进行数 ...

  6. css 3 制作水波状进度条

    效果图如下 : 代码如下: <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> ...

  7. VMware ESXi 不支持NTFS格式的USB外接硬盘

    本来想搞直通USB外接大容量硬盘(希捷Seagate Backup+ Hub WH 8T),实现在同一部ESXi下,直接将NAS的数据转移到外接硬盘.结果发现虚拟机下的win server系统识别不了 ...

  8. 第三百零三节,Django框架介绍——用pycharm创建Django项目

    Django框架介绍 Django是一个开放源代码的Web应用框架,由Python写成.采用了MVC的软件设计模式,即模型M,视图V和控制器C.它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内 ...

  9. python cython 模块(2)

    cython 的主要用途是加速python 代码的执行速度,手段有很多种,最简单的一种就是将变量声明成静态类型: 比如用python 代码写的计算素数的函数,最大计算1000个: def primes ...

  10. R 中的do.call 函数

    do.call 函数是一个高阶函数, 其第一个参数为一个函数名,或者匿名函数,第二个参数是一个list 对象, 其实是参数列表 比如读取文件test.txt, 内容为 read.table(input ...