dkuser wrote:这两种办法都试验过了，没有效果？我的Windbg版本是6.10.0003.233.不知道是什么原因。我是用户态的时候设置的。 怎么试验的，针对哪个DLL，系统的还是自己的？何时设的，如果设置时，DLL已经加载了，那么是不会命中了。 描述的具体点，不然我们更不知道什么原因呀:-)

更简单的方法是调用IsDebuggerPresent API

 liuyjpdc wrote:各位好,看了你们的对话,感觉理解了很多,但是我的还是不行哈. 我的LBR总出现这个问题... \practice\lbr\lbr.cpp(39) : error C2491: 'nLBR' : definition of dllimport data not allowed \practice\lbr\lbr.cpp(43) : error C2491: 'fnLBR' : definition of dllimport function not allowed 不知道你是怎么编译的，VC几，命令行还是IDE？这个错误是因为没有定义LBR_EXPORTS标志。 #ifdef LBR_EXPORTS#define LBR_API ...

有，如果使用命令，那么 sxe ld:XXX.dll 如果使用图形界面，那么在命令模式时，选择Debug>Event Filters...然后选择Load Module事件，点Arguments按钮输入模块名称

一种方法是在使用.process设置当前进程时指定/p开关。另一种更可靠的方法是想办法设一个内核断点把目标进程断下来，然后再设用户态的断点。举例来说，如果应用程序会调用DeviceIoControl API，那么便可以在内核函数NtDeviceIoControlFile设置一个断点。为了防止其他进程也命中这个断点，可以在设置断点时通过/p开关来制定要调试的进程。

那160页定名为《<软件调试>补编》，正在整理中。努力在月底前发给大家。 手语，不知道你如此期待这个东西呀:-)抱歉了

在2009年刚刚到来之际，真诚的向所有参加《软件调试》书友活动的各位朋友祝福！ 这次活动从2008年6月1日开始，截止日期为2008年12月31日。从6月11日Neilshu第一个参与，到12月31日的23点47分Vito1997参与，共有22位朋友参加了这次活动，收到照片大约100张。 参与这次活动的22位朋友是（按字母顺序，万一有遗漏或者错误，请通过EMAIL和我联系）： casechencclckj1234Codingdbgsunflyingdancexgrant_fei2003@hotmail.comhnsy777KernelPanicmabelmybiosneilhsunightxiepchs5689412shamexlnspeedingboyturbocVito1997WA ...

本来今天下午曾经想发一个书友活动的“截止篇”，没想到，晚上还真的又有朋友来参加。KernelPanic，这个名字我有印象的。:-) 多谢对《软件调试》的认可，关于调试器和操作系统的感想写的很不错。 《Showstopper》的第一稿就要好了，接下来还要review，估计书出来还得两三个月。 也祝你和其他所有看贴的朋友2009年吉祥快乐！

用户态下调用SetThreadContext就可以修改DR寄存器了，《软件调试》P93给出了个例子，WinDBG也就是使用这个API，信不信呢? :-)呵呵

自己做不难，主要是要把收发对接，《软件调试》的466页有具体的连接方式。不过，因为这样的线很便宜，所以自己做的“成本”可能更大（算上时间）。 一般电脑商城或者电子器件商城的杂货店里就有卖，例如上海太平洋电脑商城一楼的很多小店都有卖。北京中关村应该有类似的店吧:-)