设置两个断点，第一个处理别名，第二个真断，测试可以直接断下来，没有出现断在下一个的问题！bp kernel32!CreateProcessW ''r @$t1=poi(esp+4); as /mu ${/v:pszCP} @$t1; gc''bp kernel32!CreateProcessW+2 ''.if($spat(\''${pszCP}\'', \''*epad.exe\'')){kv; du @$t1} .else{gc}'' 请问各位，有没有直接的方法！！！

试着用ad清了下别名，反而启动calc.exe都断不下来了，但输出$spat()比较的结果又没问题啊~(如图所示)bp命令如下：bp kernel32!CreateProcessW ''r @$t1=@rcx; as /mu ${/v:pszKC} @$t1; .if($spat(\''${pszKC}\'', \''*calc.exe\'')){du @rcx; kv; ad ${/v:pszKC}} .else{? $spat(\''${pszKC}\'', \''*calc.exe\''); du rcx;& ...

先起了个cmd，然后windbg attach这个cmd进程，设置条件断点如下：0:000> bl 0 e 7577204d     0001 (0001)  0:**** kernel32!CreateProcessW ''r @$t1=poi(esp+4); as /mu ${/v:pszCP} @$t1; .if($spat(\''${pszCP}\'', \''*epad.exe\'')){kv; du @$t1} .else{gc ...