在对windows的驱动做双机调试时,总会需要在自己编写的驱动代码上设置断点。
1 这需要首先,在windbg上设置工作空间(workspace)
在这步
ntdll!LdrpDoDebuggerBreak+0x2c: 7757054e cc int 3 0:000> kv ChildEBP RetAddr Args to Child 0030f3c8 77550e00 7ffdf000 7ffd3000 775a714c ntdll!LdrpDoDebuggerBreak+0x2c (FPO: [SEH]) 0030f528 77536047 0030f59c 774d0000 7121b76b ntdll!LdrpInitializeProcess+0x11a9 (FPO: [2,83,4]) 0030f578 775335e9 0030f59c 774d0000 00000000 ntdll!_LdrpInitialize+0x78 (FPO: [SEH]) 0030f588 00000000 0030f59c 774d0000 00000000 ntdll!LdrInitializeThunk+0x10 (FPO: [2,0,0]
LdrpInitialize函数是一个新进程的初始线程开始在用户态执行最早代码,LdrpInitializeProcess函数的一个主要任务是加载EXE文件所依赖的动态链接库,在加载每个DLL后,LdrpInitializeProcess都会检查当前进程是否被调试,如果是,则调用用DbgBreakPoint 通知调试器,注意此时并没有调用每个DLL的Dllmain函数
初始断点不是调试器可以得到的最早控制机会,如进程创建事件和EXE模块加载事件都会比它早
如:
sxe cpr
然后.restart就可以先断到进程创建的时候
然后强制把PEB的BeingDebugged字段改为0:
推荐:c\c++出bug调试技巧 —— 如何利用windbg + dump + map分析程序异常 .
之前碰到论坛里有几个好友,说程序不时的崩溃,什么xxoo不能read的! 如果光要是这个内存地址,估计你会疯掉~~ 所以分享一下基本的调试技巧,需要准备的工具有W
0:000> db @$peb 7ffdb000 00 00 01 08 ff ff ff ff-00 00 2e 01 00 00 00 00 ................ 7ffdb010 00 00 01 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 7ffdb020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 7ffdb030 00 00 00 00 00 00 00 00-00 00 71 77 00 00 00 00 ..........qw.... 7ffdb040 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 7ffdb050 00 00 00 00 00 00 00 00-00 00 fa 7f 00 00 fa 7f ................ 7ffdb060 24 00 fd 7f 04 00 00 00-00 00 00 00 00 00 00 00 $............... 7ffdb070 00 80 9b 07 6d e8 ff ff-00 00 10 00 00 20 00 00 ....m........ .. 0:000> eb @$peb+2 7ffdb002 01 0 0 7ffdb003 08 0:000> db @$peb 7ffdb000 00 00 00 08 ff ff ff ff-00 00 2e 01 00 00 00 00 ................ 7ffdb010 00 00 01 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
这样,windbg就不会中断到初始断点了!
推荐:调试技巧 —— 如何利用windbg + dump + map分析程序异常
之前碰到论坛里有几个好友,说程序不时的崩溃,什么xxoo不能read的! 如果光要是这个内存地址,估计你会疯掉~~ 所以分享一下基本的调试技巧,需要准备的工具有Wi
原文地址:https://www.cnblogs.com/hjbf/p/12148389.html
时间: 2024-09-30 09:03:50