那些遇到过的问题

当ntdll.dll映射到新进程时,如何进入WinDBG

Mat*_*son 5 debugging windbg

当ntdll.dll映射到新进程时,并且在任何ntdll的进程初始化运行之前,我想使用以下命令进入WinDBG.

sxe ld ntdll.dll; g

但是,这个技巧根本不起作用,

ModLoad: 7c900000 7c9b0000   ntdll.dll
eax=010043af ebx=7ffde000 ecx=020f18f5 edx=00000034 esi=00c2f720 edi=00c2f6f2
eip=7c810867 esp=0006fffc ebp=00000720 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000             efl=00000200
7c810867  ??              ???
Processing initial command 'sxe ld ntdll.dll ;g'
0:000> sxe ld ntdll.dll ;g
(ae8.6f4): Break instruction exception - code 80000003 (first chance)
eax=00181eb4 ebx=7ffde000 ecx=00000001 edx=00000002 esi=00181f48 edi=00181eb4
eip=7c901230 esp=0006fb20 ebp=0006fc94 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000202
ntdll!DbgBreakPoint:
7c901230 cc              int     3
Run Code Online (Sandbox Code Playgroud)

那么,当ntdll.dll映射到新进程时,如何进入WinDBG?谢谢

[UPDATE]

我完全按照jcopenha提到的步骤,但我不知道为什么Windbg会在Notepad.exe运行时发出一个奇怪的错误(内存访问错误).

请帮我一把!非常感谢!

0:000> .restart /f
CommandLine: C:\WINDOWS\NOTEPAD.EXE
Symbol search path is: D:\Symbols\Symbols;SRV*D:\Symbols\MySymbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
ModLoad: 01000000 01014000   notepad.exe
eax=0100739d ebx=7ffd9000 ecx=020f18f5 edx=0000004e esi=00f7f73a edi=00f7f6f2
eip=7c810867 esp=0007fffc ebp=0000024c iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000             efl=00000200
7c810867 ??              ???
0:000> u 7c810867
7c810867 ??              ???
            ^ Memory access error in 'u 7c810867'
Run Code Online (Sandbox Code Playgroud)

[UPDATE2] 我在7c810867发现了一条奇怪的指令,但是p命令仍然可以正常工作.

它是WinDBG中的一个错误吗?

在此输入图像描述

小智 5

如果您转到Debug-> Event Filters并将"Create process"更改为"enabled",则重新启动它将在ntdll.dll出现在模块列表中之前启动的应用程序.如果你这样做sxe ld ntdll.dll;g,它将停止ntdll!RtlUserThreadStart.

0:000> .restart /f
CommandLine: C:\Windows\System32\notepad.exe
Symbol search path is: SRV*d:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
ModLoad: 00000000`ffe00000 00000000`ffe35000   notepad.exe
00000000`7790c500 4883ec48        sub     rsp,48h
0:000> sxe ld ntdll.dll;g
ModLoad: 00000000`778e0000 00000000`77a89000   ntdll.dll
ntdll!RtlUserThreadStart:
00000000`7790c500 4883ec48        sub     rsp,48h
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

9457 次

最近记录:

13 年,2 月 前
相关归档
C# - 在调试模式下步进时跳过方法的属性 96
尝试在我的Android应用程序中调试某些C代码时获取"Unknown Application ABI" 14
如何使用Visual Studio Code创建在localhost上运行的基本内容? 10
使用XDebug跟踪PHP Web服务页面 7
确定ZwWaitForMultipleObjects正在等待的对象 6
Android Studio 调试器卡住了(hedgehog) 6
JavaScript/Dojo模块模式 - 如何调试? 5
浏览器关闭时调试会话结束 4
有没有办法转储“self”或 symfony twig 模板中的容器对象? 3
使用用户模式转储确定WinDbg中的线程创建时间 2
难疑归档
Python中追加与扩展列表方法的区别 3119
如何使用CSS为文本或图像提供透明背景? 2211
JavaScript等效于printf/String.Format 1874
对于数组,为什么a [5] == 5 [a]? 1567
确定整数平方根是否为整数的最快方法 1403
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
如何设置HTML <select>元素的默认值? 1343
如何删除重复的行? 1254
如何配置git在本地忽略某些文件? 1237
如何找出哪个DOM元素具有焦点? 1234