EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

第3回 システム管理者のためのプロセス構造体入門

  2008/10/22 11:00

事例プロセスを調べる

 ChromeとJobフィールドの関係を調査するには、プロセス構造体(概念)ではなく、具体的なChromeプロセス(事例)情報を取得する必要があります。筆者は、図6のように、「!process 0 0 chrome.exe」と入力し、Chromeプロセス情報を取得しました。

図6:!process 0 0 chrome.exe
図6:!process 0 0 chrome.exe

 この具体的なプロセス情報は図7のように活用できます。

図7:dt nt!_eprocess job ffa008b0
図7:dt nt!_eprocess job ffa008b0

 ご覧のように、図7では、「dt nt!_eprocess job ffa008b0」と入力しています。コマンドの最後に入力されている16進数値の「ffa008b0」はChromeプロセスに割り当てられているアドレスです。画面を多少注意深く眺め、「ffa008b0」の位置を確認し、同じ作業をご自分のマシン環境でも試してください。

 Jobメカニズムが応用されている場合には、図7のような情報(_EJOB構造体のインスタンス)が返されてくるはずです。メモ帳(notepad.exe)プロセスなどの単純なWindowsアプリケーションは、Jobメカニズムを活用していませんから、図8のような情報が返されてきます。

図8:dt nt!_eprocess job 811b8da0
図8:dt nt!_eprocess job 811b8da0

 「!process」と「dt」の2種類のコマンドを覚えるだけで、Jobメカニズムを応用しているWindowsプロセスを特定できます。システム内で動作しているいろいろなプロセスを調査してみるのも一興かもしれません。


著者プロフィール

  • 豊田 孝(トヨタ タカシ)

    フリーのシステムアナライザ/ITジャーナリスト。  「Windows PowerShell実践スクリプティング」(秀和システム)と「IT技術者として生き抜くための十ヶ条」(翔泳社)の近著2冊にて本音の数%を吐露。最近の活動傾向は、こちらを参照してください。

バックナンバー

連載:現場で使えるWinDbgカーネルコマンド
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5