-
-
未解决
[求助]windbg调试问题
-
发表于:
2020-3-28 15:10
2435
-
我用windbg进行双机内核调试,在windbg中直接查看0环的地址无法读取;当我随便切换一个进程后就能读取了。这是为什么呢?
3: kd> u win32k!ReferenceClass
win32k!ReferenceClass:
fffff960`000bfc40 ?? ???
^ Memory access error in 'u win32k!ReferenceClass'
3: kd> .process fffffa801ab8db30
Implicit process is now fffffa80`1ab8db30
WARNING: .cache forcedecodeuser is not enabled
3: kd> u win32k!ReferenceClass
win32k!ReferenceClass:
fffff960`000bfc40 488bc4 mov rax,rsp
fffff960`000bfc43 48895808 mov qword ptr [rax+8],rbx
fffff960`000bfc47 48896810 mov qword ptr [rax+10h],rbp
fffff960`000bfc4b 48897018 mov qword ptr [rax+18h],rsi
还有一个问题。就是我双机调试的时候,在windbg里面对一个0环的函数下了断点bp win32k!ReferenceClass;
然后到调试机里面调用了CreateWindowA(这个函数进0环后会调用
win32k!ReferenceClass
),但是我的windbg却没有断下来,这是为什么呢?
谢谢大哥。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-3-28 15:10
被吴俊编辑
,原因: