Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。

比如查看系统中的所有进程:

lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_EPROCESS, ActiveProcessLinks))" poi(nt!PsActiveProcessHead)

+0x084 UniqueProcessId : 0x00000004
   +0x174 ImageFileName   : [16]  "System"

+0x084 UniqueProcessId : 0x00000270
   +0x174 ImageFileName   : [16]  "SMSS.EXE"

+0x084 UniqueProcessId : 0x000002ac
   +0x174 ImageFileName   : [16]  "CSRSS.EXE"

+0x084 UniqueProcessId : 0x000002c4
   +0x174 ImageFileName   : [16]  "WINLOGON.EXE"

+0x084 UniqueProcessId : 0x000002f0
   +0x174 ImageFileName   : [16]  "SERVICES.EXE"

+0x084 UniqueProcessId : 0x00000314
   +0x174 ImageFileName   : [16]  "LSASS.EXE"

+0x084 UniqueProcessId : 0x000003a4
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000003f8
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000005ec
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x00000658
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000006f0
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000000c8
   +0x174 ImageFileName   : [16]  "SPOOLSV.EXE"

+0x084 UniqueProcessId : 0x00000298
   +0x174 ImageFileName   : [16]  "MDM.EXE"

+0x084 UniqueProcessId : 0x00000484
   +0x174 ImageFileName   : [16]  "WGATRAY.EXE"

+0x084 UniqueProcessId : 0x00000494
   +0x174 ImageFileName   : [16]  "EXPLORER.EXE"

+0x084 UniqueProcessId : 0x0000056c
   +0x174 ImageFileName   : [16]  "SVCHOST.EXE"

+0x084 UniqueProcessId : 0x000005d4
   +0x174 ImageFileName   : [16]  "vmware-authd.ex"

+0x084 UniqueProcessId : 0x000006b0
   +0x174 ImageFileName   : [16]  "VMOUNT2.EXE"

+0x084 UniqueProcessId : 0x00000700
   +0x174 ImageFileName   : [16]  "VMNAT.EXE"

+0x084 UniqueProcessId : 0x000007a8
   +0x174 ImageFileName   : [16]  "VMNETDHCP.EXE"

+0x084 UniqueProcessId : 0x00000448
   +0x174 ImageFileName   : [16]  "HKCMD.EXE"

+0x084 UniqueProcessId : 0x000004dc
   +0x174 ImageFileName   : [16]  "IGFXPERS.EXE"

+0x084 UniqueProcessId : 0x00000578
   +0x174 ImageFileName   : [16]  "SOUNDMAN.EXE"

+0x084 UniqueProcessId : 0x00000590
   +0x174 ImageFileName   : [16]  "daemon.exe"

......

如果需要执行多条命令,则把每条命令用分号隔开,把 !list 命令的整个参数用双引号括起来。

详情 jpg 转 rar

[分享]方便的 windbg 命令 - !list的更多相关文章

  1. 分享一个常用Adb命令

    分享一个常用Adb命令 首先 首先感谢@xuxu的常用adb命令,收益良多,但是已经不能满足于我,所以补充了下. 再者 好久没发帖了,最近论坛老司机们都在讨论/总结,我就用这个干货回报吧. 最后 基于 ...

  2. WinDbg 命令三部曲:(一)WinDbg 命令手册

    本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDb ...

  3. WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册

    本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDb ...

  4. WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册

    本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部曲:(一)WinDbg 命令手册> <WinDb ...

  5. windbg命令学习3

    3.进程与线程: 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息.调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺. 3.1. 进程命令 进程命令包括以下:显示进程 ...

  6. WinDbg 命令手册

    WinDbg 命令三部曲:(一)WinDbg 命令手册   本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载. 系列博文 <WinDbg 命令三部 ...

  7. WinDbg命令三部曲

    WinDbg 命令三部曲:(一)WinDbg 命令手册 WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册 WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册

  8. [日期工具分享][Shell]为特定命令依次传入顺序日期执行

    [日期工具分享][Shell]为特定命令依次传入顺序日期执行 使用方式: <本脚本文件名(必要时需要全路径)> <要执行的命令所在的文件名> <开始日期> < ...

  9. Windbg命令脚本流程控制语句详解

    在Windbg命令脚本一文里,我们介绍了命令脚本语言的的组成要素,在本文里将对语句进行展开的讲解.这些语句主要是流程控制的语句,比如我们常见的条件分子和循环语句等. ; (命令分隔符) 分号(:)字符 ...

随机推荐

  1. Python+Django+SAE系列教程12-----配置MySQL数据库

    由于SAE上支持的是Mysql,首先我们要在本地配置一个Mysql的环境 ,我在网上找到MySQL-python-1.2.4b4.win32-py2.7.exe,并双击 安装 选择典型安装 安装结束后 ...

  2. JDBC 查询的三大参数 setFetchSize prepareStatement(String sql, int resultSetType, int resultSetConcur)

    JDBC 查询的三大参数 本文转载至 http://blog.csdn.net/turkeyzhou/article/details/5115228 DBC1.0 .JDBC2.0 .JDBC3.0  ...

  3. EMC现场测试-EFT、ESD、Surge和场辐射

    EMC测试主要进行了4项: 1. ESD 采用静电枪测试,接触电压±6KV,检测了整个箱体和内部可见金属部分: 空气放电正负8KV,检测了箱体及内部金属部分(如板卡壳体),特别检测了220V电源插头及 ...

  4. CDH离线安装

    1. 安装准备 系统:Centos 6 Cloudera Manager分配如下: 安装版本:CDH-5.8.0 所需安装文件 CDH相关 CDH-5.8.0-1.cdh5.8.0.p0.42-el6 ...

  5. 上手并过渡到PHP7(3)——Uniform Variable Syntax到底统一了什么

    PHP7 up and running 泊学原文链接泊学实操视频 Uniform Variable Syntax 在PHP 7提出Uniform Variable Syntax之前,我们大多数人可能都 ...

  6. 20个优秀的JavaScript 键盘事件处理库

    键盘事件是 Web 开发中最常用的事件之一,通过对键盘事件的捕获和处理可以提高网站的易用性和交互体验.下面,我们向大家介绍收集的20款优秀的 JavaScript 键盘事件处理库,帮助开发人员轻松处理 ...

  7. [oracle] 重要服务启动与停止命令行

    ① 控制台服务[em control] 启动:emctl start dbconsole 停止:emctl stop dbconsole ② 监听器服务[listener control] 启动:ls ...

  8. 关于Unity的入门游戏飞机大战的开发(上)

    每个组件都是一个类的实例,要获得某个组件,要先创建一个同类型的组件类实例,然后把实例传引用过去,就可以对想要的组件实例进行操作. 做游戏一般创建一个逻辑节点,里面只管逻辑,再创建一个动画节点,里面有好 ...

  9. TextView不用获取焦点也能实现跑马灯

    1.写一个类继承TextView package com.example.tt; import android.content.Context; import android.graphics.Rec ...

  10. 在Linux服务器上部署node项目(git部署,forever持续运行,配置SSL证书)

    一.环境部署 1.下载安装包: wget https://nodejs.org/dist/v9.9.0/node-v9.9.0-linux-x64.tar.xz 2.解压并进入目录: xz -d no ...