使用windbg6.10的！peb命令异常，请指教！

WinDbg

使用windbg6.10的！peb命令异常，请指教！

---

Jane 2008-11-27, 09:28 上午
我照着《软件调试》p135页介绍用！peb命令看notepad.exe的peb结构信息，发生异常，现场如下：
lkd> !process fe2524d0 2

PROCESS fe2524d0 SessionId: 0 Cid: 09f8 Peb: 7ffda000 ParentCid: 0a5c
DirBase: 0769b000 ObjectTable: e10799f0 HandleCount: 111.
Image: notepad.exe

THREAD fe308568 Cid 09f8.02fc Teb: 7ffdf000 Win32Thread: e2b85008 WAIT: (WrUserRequest) UserMode Non-Alertable
fe3ddcb0 SynchronizationEvent

THREAD fe1515d0 Cid 09f8.0908 Teb: 7ffde000 Win32Thread: 00000000 WAIT: (DelayExecution) UserMode Alertable
fe1516c0 NotificationTimer


lkd> .process fe2524d0

Implicit process is now fe2524d0

lkd> .context

User-mode page directory base is 769b000

lkd> !peb

PEB at 7ffda000
InheritedAddressSpace: Yes
ReadImageFileExecOptions: Yes
BeingDebugged: Yes
ImageBaseAddress: 01cee000
Ldr 00000000
*** unable to read Ldr table at 00000000
SubSystemData: 00000000
ProcessHeap: 7ffda000
ProcessParameters: 0824be90
WindowTitle: ''
ImageFile: ''
CommandLine: ''
DllPath: ''
Environment: 006d0061
Unable to read Environment string.

其中的ImageBaseAddress显示的也不对，我在虚存空间RVA为0x1000000处看到了DOS头。敬请高手赐教！

Re: 使用windbg6.10的！peb命令异常，请指教！

---

格蠹老雷 2008-11-27, 19:43 下午
你是说173页吧？本地内核调试在观察用户态时具有一定局限性。原因是难以做页表切换这样的动作。建议用双机内核调试。我会在下一版本中，更新清单8-3中的lkd。

Re: 使用windbg6.10的！peb命令异常，请指教！

---

小喂 2008-11-27, 20:14 下午
本机内核调试好像是有点问题，用 livekd 好像可以。

Re: 使用windbg6.10的！peb命令异常，请指教！

---

格蠹老雷 2008-11-27, 20:16 下午
LiveKD是会好，因为它是基于DUMP快照的。