由于需要调试PPL特权程序,因此暂时在内核层可以获取较好的调试体验(在用户层通过关闭防篡改共功能,并且通过内核修改进程的protection type同样也可以在用户层调试,但是依旧无法下断点,提示error 0n5,没有权限,原因未知)。但是在内核调试时不知道为什么调试用户层代码时诸如!address、!heap等命令无法使用,反馈使用!pte命令确认地址的有效性,尚不知如何解决。目前不知道是否有这样的插件可以在内核层调试用户级别代码时,跟踪特定dll动态库的指令级别(不是函数级别的)的调用。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
