首页
社区
课程
招聘
windbg双机调试,如何下断点到R3程序入口?
发表于: 2015-10-9 12:34 6532

windbg双机调试,如何下断点到R3程序入口?

2015-10-9 12:34
6532
没有源代码,也没有符号表。
书上的一个程序。
希望能具体说下要怎么做,不然对我来说也很困难

我在说明下,这个程序不是一直运行的,是得打开才能运行,然后立马消失

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (10)
雪    币: 18
活跃值: (1059)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
2
bp @$exentry
bp $exentry
0:000> ? @$exentry
Evaluate expression: 4199040 = 00401280
0:000> bp @$exentry
0:000> bl
0 e 00401280     0001 (0001)  0:**** image00400000+0x1280
0:000> g
Breakpoint 0 hit    
image00400000+0x1280:
00401280 55              push    ebp
2015-10-9 13:04
0
雪    币: 490
活跃值: (95)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
你这是单机调试吧?我想知道在双机内核模式调试的时候应该怎么断?
2015-10-9 13:45
0
雪    币: 18
活跃值: (1059)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
4
sorry,没有尝试过内核调试,暂时帮不了你.
2015-10-9 13:54
0
雪    币: 581
活跃值: (215)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
5
这个很简单啊。随便下个断点让它启动停住就可以啊,比如下条件断点到nt!PspCreateProcess,之后你想做什么都可以啊。
2015-10-9 15:10
0
雪    币: 29
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
到进程空间
2015-10-9 15:24
0
雪    币: 490
活跃值: (95)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
我是这么干的,我下的是kernel32!createprocess ,然后进程空间就有aaa.exe的地址了,我就用
.process /i /p xxx,切换上下文,他就提示我需要按下g来切换上下文,我按下g之后又自动断下了,不过程序已经运行完了~  我应该在哪个步骤去下 bp 40346b  这样的断点,来断下aaa进程空间的那个地址?
2015-10-9 15:30
0
雪    币: 490
活跃值: (95)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
我是这么干的,我下的是kernel32!createprocess ,然后进程空间就有aaa.exe的地址了,我就用
.process /i /p xxx,切换上下文,他就提示我需要按下g来切换上下文,我按下g之后又自动断下了,不过程序已经运行完了~  我应该在哪个步骤去下 bp 40346b  这样的断点,来断下aaa进程空间的那个地址?
2015-10-9 15:32
0
雪    币: 581
活跃值: (215)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
9
首先,你的kernel32!createprocess断下来的时候,你就开始下断点就可以了啊。你没必要切什么进程,你当前进程就是这个,地址空间没必要切,但是你在内核下的时候使用bp /p xxxxx, 因为多进程的关系。
2015-10-9 15:39
0
雪    币: 490
活跃值: (95)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
kernel32!createprocess断下的时候,下断点断不住啊,而且我输入 !peb ,查看到的是explorer进程,不是我的目标进程啊,就算我输入 .process /p target.exe  然后 peb是这个进程了,但是还是断不下来~
2015-10-9 15:56
0
雪    币: 581
活跃值: (215)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
11
那你就按照我和你说的那个方式下,别切了。你要是还不行,你发给我试试看。
2015-10-9 16:03
0
游客
登录 | 注册 方可回帖
返回
//