最近测试一个要加载到lsass.exe的dll,ring3下的,试过log event不行,查了一些网上的资料,在raymond的帮助下完成调试,下面是调试的简单记录,关于如何在lsass.exe中下断点的方法,还是考虑的不够充分,欢迎大家补充,再次感谢raymond的帮助。
调试记录:
1、建立双机内核调试环境(我用的是vmware虚拟机)
2、在target computer上运行gFlags.exe(我使用的windbg版本号是 6.6.0007.5),设Image file=lsass.exe,debugger=ntsd -dgG –pd,第一个属性页“system registry”可以不选,如图1、2
图1
图2
3、接下来要解决的一个问题是,如何将lsass中断到调试器?
可以有以下方法:
(1) 写一个dll,如knowDll或Appinit DLL,然后检查加载自己的是不是lsass.exe,如果是,就在里面执行一个断点DebugBreak()。
(2) 暂时还没有想到,欢迎大家补充:)