---

dt命令

WinDbg 调试器中 dt（Display Type）命令，它显示了 Windows 中线程环境块（Thread Environment Block，简称 TEB）的结构。TEB 是一个重要的数据结构，每个线程都有自己的 TEB，它包含了线程的各种信息，如线程的ID、环境变量、局部存储等。

• NtTib：包含线程的异常、栈、环境和纤维信息。
• EnvironmentPointer：指向环境块的指针。
• ClientId：包含线程和进程的唯一标识符。
• ActiveRpcHandle：当前激活的RPC（远程过程调用）句柄。
• ThreadLocalStoragePointer：指向线程的本地存储区域。
• ProcessEnvironmentBlock：指向进程环境块（PEB）的指针，PEB包含了进程的全局信息。
• LastErrorValue：线程的最后一个错误值。
• CountOfOwnedCriticalSections：线程拥有的关键部分的数量。
• CsrClientThread：指向客户端线程块的指针。
• Win32ThreadInfo：指向Win32线程信息的指针。
• User32Reserved 和 UserReserved：为用户32保留的数组。
• WOW32Reserved：用于32位应用程序在64位Windows上运行的保留指针。
• CurrentLocale：当前区域设置。
• FpSoftwareStatusRegister：浮点软件状态寄存器。
• ReservedForDebuggerInstrumentation：为调试器工具保留的数组。
• SystemReserved1：系统保留的数组。
• PlaceholderCompatibilityMode 和 PlaceholderHydrationAlwaysExplicit：占位符兼容性模式相关字段。
• ProxiedProcessId：代理进程ID。
• _ActivationStack：激活上下文堆栈。
• WorkingOnBehalfTicket：代表工作票。
• ExceptionCode：异常代码。
• ActivationContextStackPointer：激活上下文堆栈指针。
• InstrumentationCallbackSp、InstrumentationCallbackPreviousPc、InstrumentationCallbackPreviousSp：用于调试和性能监控的回调指针。
• TxFsContext：事务文件系统上下文。
• GdiTebBatch：GDI线程环境块批处理。
• RealClientId：实际客户端ID。
• GdiCachedProcessHandle：缓存的GDI进程句柄。
• GdiClientPID 和 GdiClientTID：GDI客户端进程和线程ID。
• GdiThreadLocalInfo：GDI线程本地信息。
• Win32ClientInfo：Win32客户端信息。
• glDispatchTable：全局分派表。
• glReserved1、glReserved2：全局保留字段。
• glSectionInfo、glSection、glTable、glCurrentRC、glContext：与图形相关的字段。
• LastStatusValue：最后一个状态值。
• StaticUnicodeString、StaticUnicodeBuffer：静态Unicode字符串和缓冲区。
• DeallocationStack：释放堆栈。
• TlsSlots：线程局部存储插槽数组。
• TlsLinks：线程局部存储链接。
• Vdm：虚拟DOS机信息。
• ReservedForNtRpc：为NT RPC保留的指针。
• DbgSsReserved：为调试子系统保留的数组。
• HardErrorMode：硬错误模式。
• Instrumentation：用于性能监控的数组。
• ActivityId：活动ID。
• SubProcessTag、PerflibData、EtwTraceData、WinSockData：子进程标签、性能库数据、ETW跟踪数据、WinSock数据。
• GdiBatchCount：GDI批处理计数。
• CurrentIdealProcessor：当前理想的处理器。
• GuaranteedStackBytes：保证的栈字节数。
• ReservedForPerf、ReservedForOle：为性能和OLE保留的指针。
• WaitingOnLoaderLock：等待加载器锁。
• SavedPriorityState：保存的优先级状态。
• ThreadPoolData：线程池数据。
• TlsExpansionSlots：线程局部存储扩展插槽。
• DeallocationBStore、BStoreLimit：释放BStore和BStore限制。
• MuiGeneration：多语言用户界面生成。
• IsImpersonating：是否正在模拟。
• NlsCache：NLS缓存。
• pShimData：Shim数据指针。
• HeapData：堆数据。
• CurrentTransactionHandle：当前事务句柄。
• ActiveFrame：活动帧。
• FlsData：光纤局部存储数据。
• PreferredLanguages、UserPrefLanguages、MergedPrefLanguages：首选语言、用户首选语言、合并的首选语言。
• MuiImpersonation：多语言用户界面模拟。
• CrossTebFlags、SameTebFlags：跨TEB标志和相同TEB标志。
• TxnScopeEnterCallback、TxnScopeExitCallback、TxnScopeContext：事务范围进入、退出回调和上下文。
• LockCount：锁定计数。
• WowTebOffset：WOW TEB偏移。
• ResourceRetValue：资源返回值。
• ReservedForWdf：为WDF保留的指针。
• ReservedForCrt：为CRT保留的字段。
• EffectiveContainerId：有效的容器ID。

这些信息对于理解线程的内部工作和调试线程相关的问题非常有用。在使用 WinDbg 进行调试时，了解这些结构可以帮助开发者更好地理解线程的状态和行为。

dt-r 递归

这段输出是 WinDbg 调试器中 dt（Display Type）命令的结果，它显示了当前线程的线程环境块（TEB）的结构和一些关键字段的值。TEB 是一个重要的数据结构，它包含了线程的各种信息，如线程的ID、环境变量、局部存储等。下面是对输出中一些关键字段的解释：

1. NtTib (_NT_TIB)：这是 TEB 的第一个成员，它是一个结构体，包含了线程的基本信息，如异常链表、栈基址和栈限制等。

   • ExceptionList：指向异常处理程序链表的指针，这里显示为 (null)，表示没有异常处理程序。
   • StackBase：栈的基址，这里是 0x000000c2bb880000。
   • StackLimit：栈的限制地址，这里是 0x000000c2bb87c000。
   • SubSystemTib：子系统线程信息块，这里显示为 (null)。
   • FiberData：纤维数据指针，这里显示为 0x0000000000001e00，同时也表示版本号 0x1e00。
   • ArbitraryUserPointer：任意用户指针，这里显示为 (null)。
   • Self：指向 _NT_TIB 结构本身的指针，这里是 0x000000c2bb7c7000。

2. EnvironmentPointer：指向环境块的指针，这里显示为 (null)。

3. ClientId (_CLIENT_ID)：包含线程和进程的唯一标识符。

   • UniqueProcess：唯一进程标识符，这里是 0x00000000000016b0。
   • UniqueThread：唯一线程标识符，这里是 0x0000000000002104。

4. ActiveRpcHandle：当前激活的RPC（远程过程调用）句柄，这里显示为 (null)。

5. ThreadLocalStoragePointer (TlsSlots)：指向线程的本地存储区域，这里显示为 (null)。

6. ProcessEnvironmentBlock (_PEB)：指向进程环境块的指针，这里是 0x000000c2bb7b8000。PEB包含了整个进程的信息。

7. InheritedAddressSpace：继承的地址空间标志，这里是 0，表示没有继承地址空间。

这个输出提供了关于当前线程状态的详细信息，这对于调试线程相关的问题非常有用。例如，通过查看 TEB 中的 ClientId，你可以了解线程的唯一标识符；通过查看 StackBase 和 StackLimit，你可以了解线程的栈大小和位置。这些信息对于理解线程的内部工作和行为至关重要。

---

全局和局部变量

在 WinDbg 中，NtTib 是 _NT_TIB 结构的简称，它是线程环境块（TEB）的第一个成员。当你尝试使用 dt 命令来显示 NtTib 的详细信息时，你需要确保你提供了正确的符号路径，并且已经加载了相应的模块和符号。

在你的命令尝试中，你首先正确地使用了 @$teb 伪寄存器来获取当前线程的 TEB 地址，并尝试显示 NtTib 成员的信息：

dt -r ntdll!_TEB @$teb NtTib

这个命令显示了 TEB 结构中的 NtTib 成员，它是 _NT_TIB 类型的结构体。

然而，当你尝试直接使用 NtTib 而不指定模块名或不使用 @$teb 时，WinDbg 无法识别这个符号，因为它不是一个全局符号，而是 TEB 结构的一部分：

dt -r NtTib
Symbol NtTib not found.

这是因为 NtTib 不是一个独立的符号，而是 ntdll!_TEB 结构的一部分。因此，你需要指定完整的符号路径，如 ntdll!_TEB.NtTib，或者使用 @$teb 伪寄存器来引用当前线程的 TEB，并从中获取 NtTib 成员。

总结来说，要查看 _NT_TIB 结构的信息，你需要确保你使用了正确的命令格式，并且已经正确加载了符号。如果你遇到了 “Symbol not found” 的错误，这通常意味着 WinDbg 无法找到对应的符号，可能是因为没有加载正确的模块或符号。在这种情况下，检查你的符号路径设置，并确保你已经加载了 ntdll 模块。