约有 1,303 项符合查询结果, 以下是第 50 - 131项。
费时 < 1 秒。
好问:-)
如果是有界面的程序,那么可以对着界面按F12;如果是调试XP或者更老的CSRSS,那么可以对着控制台窗口按F12,因为控制台归CSRSS管;对于其它情况,ASAIK,没有非常简单的方法,可以.process /i 切换到被调试应用程序的空间,在用户空间手工插入INT 3...需要一点胆大心细的
Posted in Windows内核调试
by
格蠹老雷
on 2011-06-16
没有用户态调试器时,进程创建过程中不触发初始断点,所以不太可行
我常用的方法就是在nt!NtCreateUserProcess设个断点,如果要过滤,还可以增加过滤条件
Posted in Windows内核调试
by
格蠹老雷
on 2011-06-13
确实如Tom所说,对于8-1024字节的小堆块,为了提高性能,在不启用调试机制的默认情况下,会先放到一个Look-aside列表中,这样比放到Free-List还要高效,不需要使用堆的全局锁
这个列表的头指针也记录在_HEAP结构中,但是公开的调试符号中没有包含这个字段
Posted in C/C++本地代码调试
by
格蠹老雷
on 2011-06-11
准页堆沿用了页堆的管理结构,比如每个堆块前也有DPH_BLOCK_ INFORMATION结构,在调试时可以根据这个结构的信息“核对”堆块...
Posted in Windows内核调试
by
格蠹老雷
on 2011-06-11
目的是什么?如果是学习目的,那么可以考虑用FileMon或者内核调试会话,监视有关lpk.dll的文件操作;否则,建议找一下专杀工具
Posted in Windows内核调试
by
格蠹老雷
on 2011-06-11
通用的机制是APC,可以参阅Walter Oney的WDM编程一书
鼠标键盘信息由Windows子系统(Win32K+CSRSS)处理,可以通过逆向调用传递到用户态
Posted in Windows内核调试
by
格蠹老雷
on 2011-06-05
这个蓝屏充分证明还起作用啊 :-)
这样的过滤驱动通常不要单独卸载,不然的话要谨慎的维护RemoveLock,参见toaster\filter\filter.c
Posted in Windows内核调试
by
格蠹老雷
on 2011-05-28
建议读一下《Windows Internals》In-Paging I/O一节
Posted in Windows内核调试
by
格蠹老雷
on 2011-05-27