1

我的“进程和线程”窗口卡在000:f0f0f0f0 ntkrnlpa.exe.

我尝试以各种方式更改上下文,但都没有影响窗口。

我的行动:

kd> !process 0 0 notepad.exe
PROCESS 821ff378  SessionId: 0  Cid: 0358    Peb: 7ffd7000  ParentCid: 05e0
    DirBase: 090801a0  ObjectTable: e18fb7b8  HandleCount: 132.
    Image: notepad.exe

kd> .process /i 821ff378
You need to continue execution (press 'g' <enter>) for the context
to be switched. When the debugger breaks in again, you will be in
the new process context.
kd> g
Break instruction exception - code 80000003 (first chance)
nt!RtlpBreakWithStatusInstruction:
80527bdc cc              int     3

我希望“进程和线程”窗口现在向我展示notepad.exe它的线程。为什么它不起作用?

4

1 回答 1

0

windbg帮助

Processes and Threads 窗口显示当前正在调试的所有进程的列表。进程中的线程出现在每个进程下。如果调试器连接到多个系统,系统将显示在树的顶层,进程从属于它们,线程从属于进程。

因此,该Processes and threads窗口仅显示正在调试或附加调试器的进程/线程,即当您附加到内核时显示。

即使您在调试器中更改进程上下文,它仍然附加到内核,而不是进程。因此该过程不会显示在该窗口中。

于 2013-05-15T11:34:01.917 回答