-
-
[求助]windbg内核调试时怎么切换到用户进程
-
发表于:
2011-7-31 23:18
19793
-
用windbg在自己的机器上调试虚拟机,现在虚拟机中有个记事本程序,我怎么才能切换到这个记事本的进程空间,然后在它的用户空间下一个断点,接下来就可以像od调试应用程序一样调试记事本程序了,网上有一些帖子,大致是这样的:
1:使用!process 0 0 获取用户空间的所有的进程的信息
!process 0 0
2:使用.process /p + 你需要断的应用程序的EProcess地址,切换到应用程序的地址空间
例如:
.process /p 0x80a02a60
3:重新加载user PDB文件
.reload /f /user
4:使用非侵入式的切换进程空间
.process /i /p 0x80a02a60
5:下应用层断点
bp bu 都可以
我前四部都能够做,但是第五步,bp之后的地址是什么,关键是我不知道他的地址,我怎么下断点呢?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
