|
|
|
|
|
|
|
Windows内核调试
帖子发起人: Thomson 发起时间: 2011-06-12 09:52 上午 回复: 2
|
帖子排序:
|
|
|
|
2011-06-12, 09:52 上午
|
Thomson
注册: 2008-07-03
发 贴: 211
|
在kernel debug session里面能接收或者设置新进程创建的initial break point么?
|
|
|
|
比如在kernel debugger里面,在每次新创建新process的时候(其实是在新process initialize的时候), 就break到debugger里面.
我看了sxe cpr, 功能很类似,只是它是适用在kernel debugger session.
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
2011-06-13, 16:12 下午
|
格蠹老雷
注册: 2005-12-19
发 贴: 1,303
|
Re: 在kernel debug session里面能接收或者设置新进程创建的initial break point么?
|
|
|
|
没有用户态调试器时,进程创建过程中不触发初始断点,所以不太可行
我常用的方法就是在nt!NtCreateUserProcess设个断点,如果要过滤,还可以增加过滤条件
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
2011-06-17, 10:16 上午
|
wrong
注册: 2011-01-07
发 贴: 66
|
Re: 在kernel debug session里面能接收或者设置新进程创建的initial break point么?
|
|
|
|
"我看了sxe cpr, 功能很类似,只是它是适用在kernel debugger session. "
我看帮助文件是这样写的。
Environment
Modes User mode, kernel mode
Targets Live debugging only
Platforms All
应该是kernel和User mode都可以用的吧。
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
高端调试 » 软件调试 » Windows内核调试 » 在kernel debug session里面能接收或者设置新进程创建的initial break point么?
|
|
|
|
|
|