再探内核调试--如何在内核调试下对用户态进程下断点

北魏的小Eif

于 2018-10-18 15:17:42 发布

阅读量889

点赞数 3

CC 4.0 BY-SA版权

分类专栏：日志文章标签：内核未启动进程断点调试

本文链接：https://blog.csdn.net/u010350434/article/details/83147209

本文详细介绍了如何在Windows内核调试环境下，针对已运行和未启动的用户态进程设置断点。通过准备工作、对运行中进程下断点以及对未启动进程下断点的步骤，包括使用风调试器(windbg)的命令如`.process`、`.reload /user`、`bp`和`sxe ld`等，实现对目标程序如test.exe的main函数的精确断点设置。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

本文将对Windows平台下的内核调试中，对我们想要调试的用户态进程进行下断点等探索

1. 准备工作

见初探

2. 对调试目标程序下断点

我们在初探中已经提到对记事本进程进行观察的方法，这里我们将尝试对自己的进程下断点。在初探中，我们已经能看到了记事本的堆栈，在进行了.process操作之后，是不是就可以像普通调试一样下断点呢？

2.1 下断点之前的一些操作

windbg连接成功后，首先会出现

*******************************************************************************
*                                                                             *
*   You are seeing this message because you pressed either                    *
*       CTRL+C (if you run kd.exe) or,                                        *
*       CTRL+BREAK (if you run WinDBG),                                       *
*   on your debugger machine's keyboard.                                      *
*                                                                             *
*                   THIS IS NOT A BUG OR A SYSTEM CRASH                       *
*                                                                             *
* If you did not intend to break into the debugger, press the "g" key, then   *
* press the "Enter" key now.  This message might immediately reappear.  If it *
* does, press "g" and "Enter" again.                                          *
*                                                                             *
******************************************************************************