windbg双机调试，如何下断点到R3程序入口？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
猪会被杀掉雪币： 18 活跃值： (1009) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 2 楼 bp @$exentry bp $exentry 0:000> ? @$exentry Evaluate expression: 4199040 = 00401280 0:000> bp @$exentry 0:000> bl 0 e 00401280 0001 (0001) 0:**** image00400000+0x1280 0:000> g Breakpoint 0 hit image00400000+0x1280: 00401280 55 push ebp 2015-10-9 13:04 0
西瓜霜雪币： 490 活跃值： (85) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 27 粉丝 1 关注私信	西瓜霜 3 楼你这是单机调试吧？我想知道在双机内核模式调试的时候应该怎么断？ 2015-10-9 13:45 0
猪会被杀掉雪币： 18 活跃值： (1009) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 4 楼 sorry,没有尝试过内核调试,暂时帮不了你. 2015-10-9 13:54 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 5 楼这个很简单啊。随便下个断点让它启动停住就可以啊，比如下条件断点到nt!PspCreateProcess，之后你想做什么都可以啊。 2015-10-9 15:10 0
cjbclown 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 32 粉丝 0 关注私信	cjbclown 6 楼到进程空间 2015-10-9 15:24 0
西瓜霜雪币： 490 活跃值： (85) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 27 粉丝 1 关注私信	西瓜霜 7 楼我是这么干的，我下的是kernel32！createprocess ，然后进程空间就有aaa.exe的地址了，我就用 .process /i /p xxx,切换上下文,他就提示我需要按下g来切换上下文，我按下g之后又自动断下了，不过程序已经运行完了~ 我应该在哪个步骤去下 bp 40346b 这样的断点，来断下aaa进程空间的那个地址？ 2015-10-9 15:30 0
西瓜霜雪币： 490 活跃值： (85) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 27 粉丝 1 关注私信	西瓜霜 8 楼我是这么干的，我下的是kernel32！createprocess ，然后进程空间就有aaa.exe的地址了，我就用 .process /i /p xxx,切换上下文,他就提示我需要按下g来切换上下文，我按下g之后又自动断下了，不过程序已经运行完了~ 我应该在哪个步骤去下 bp 40346b 这样的断点，来断下aaa进程空间的那个地址？ 2015-10-9 15:32 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 9 楼首先，你的kernel32!createprocess断下来的时候，你就开始下断点就可以了啊。你没必要切什么进程，你当前进程就是这个，地址空间没必要切，但是你在内核下的时候使用bp /p xxxxx, 因为多进程的关系。 2015-10-9 15:39 0
西瓜霜雪币： 490 活跃值： (85) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 27 粉丝 1 关注私信	西瓜霜 10 楼 kernel32!createprocess断下的时候，下断点断不住啊，而且我输入！peb ，查看到的是explorer进程，不是我的目标进程啊，就算我输入 .process /p target.exe 然后 peb是这个进程了，但是还是断不下来~ 2015-10-9 15:56 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 11 楼那你就按照我和你说的那个方式下，别切了。你要是还不行，你发给我试试看。 2015-10-9 16:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
猪会被杀掉雪币： 18 活跃值： (1009) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 2 楼 bp @$exentry bp $exentry 0:000> ? @$exentry Evaluate expression: 4199040 = 00401280 0:000> bp @$exentry 0:000> bl 0 e 00401280 0001 (0001) 0:**** image00400000+0x1280 0:000> g Breakpoint 0 hit image00400000+0x1280: 00401280 55 push ebp 2015-10-9 13:04 0
西瓜霜雪币： 490 活跃值： (85) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 27 粉丝 1 关注私信	西瓜霜 3 楼你这是单机调试吧？我想知道在双机内核模式调试的时候应该怎么断？ 2015-10-9 13:45 0
猪会被杀掉雪币： 18 活跃值： (1009) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 4 楼 sorry,没有尝试过内核调试,暂时帮不了你. 2015-10-9 13:54 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 5 楼这个很简单啊。随便下个断点让它启动停住就可以啊，比如下条件断点到nt!PspCreateProcess，之后你想做什么都可以啊。 2015-10-9 15:10 0
cjbclown 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 32 粉丝 0 关注私信	cjbclown 6 楼到进程空间 2015-10-9 15:24 0
西瓜霜雪币： 490 活跃值： (85) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 27 粉丝 1 关注私信	西瓜霜 7 楼我是这么干的，我下的是kernel32！createprocess ，然后进程空间就有aaa.exe的地址了，我就用 .process /i /p xxx,切换上下文,他就提示我需要按下g来切换上下文，我按下g之后又自动断下了，不过程序已经运行完了~ 我应该在哪个步骤去下 bp 40346b 这样的断点，来断下aaa进程空间的那个地址？ 2015-10-9 15:30 0
西瓜霜雪币： 490 活跃值： (85) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 27 粉丝 1 关注私信	西瓜霜 8 楼我是这么干的，我下的是kernel32！createprocess ，然后进程空间就有aaa.exe的地址了，我就用 .process /i /p xxx,切换上下文,他就提示我需要按下g来切换上下文，我按下g之后又自动断下了，不过程序已经运行完了~ 我应该在哪个步骤去下 bp 40346b 这样的断点，来断下aaa进程空间的那个地址？ 2015-10-9 15:32 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 9 楼首先，你的kernel32!createprocess断下来的时候，你就开始下断点就可以了啊。你没必要切什么进程，你当前进程就是这个，地址空间没必要切，但是你在内核下的时候使用bp /p xxxxx, 因为多进程的关系。 2015-10-9 15:39 0
西瓜霜雪币： 490 活跃值： (85) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 27 粉丝 1 关注私信	西瓜霜 10 楼 kernel32!createprocess断下的时候，下断点断不住啊，而且我输入！peb ，查看到的是explorer进程，不是我的目标进程啊，就算我输入 .process /p target.exe 然后 peb是这个进程了，但是还是断不下来~ 2015-10-9 15:56 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 11 楼那你就按照我和你说的那个方式下，别切了。你要是还不行，你发给我试试看。 2015-10-9 16:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复