Re: 在kernel debug session里面能接收或者设置新进程创建的initial break point么?
Windows内核调试
在kernel debug session里面能接收或者设置新进程创建的initial break point么?
Thomson
2011-06-12, 09:52 上午
比如在kernel debugger里面,在每次新创建新process的时候(其实是在新process initialize的时候), 就break到debugger里面.
我看了sxe cpr, 功能很类似,只是它是适用在kernel debugger session.
Re: 在kernel debug session里面能接收或者设置新进程创建的initial break point么?
格蠹老雷
2011-06-13, 16:12 下午
没有用户态调试器时,进程创建过程中不触发初始断点,所以不太可行
我常用的方法就是在nt!NtCreateUserProcess设个断点,如果要过滤,还可以增加过滤条件
Re: 在kernel debug session里面能接收或者设置新进程创建的initial break point么?
wrong
2011-06-17, 10:16 上午
"我看了sxe cpr, 功能很类似,只是它是适用在kernel debugger session. "
我看帮助文件是这样写的。
Environment
Modes User mode, kernel mode
Targets Live debugging only
Platforms All
应该是kernel和User mode都可以用的吧。