windbg 内核调试模式下条件断点无法断下-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2023-5-29 17:49 2 楼 1 1.确定下自己是由符号的. nt!xxx存在. 2.可以使用bu 看看. 3.使用下老的debug 条件断点. 4.确定下你的base. 94和0x94是两回事. 可以使用n 16设置下. 这样94代表的就是0x94. 精确下这个值. 5.NtWaitforsingobject第一个参数应该是句柄. 难道每次句柄是一样的吗? 可以试试 echo 输出下. bp nt!NtWaitForSingleObject"j (@rcx)==94 ''; 'gc' " bp nt!NtWaitForSingleObject ".if (@rcx==94) { } .else {gc}"
heheghosts 雪币： 237 活跃值： (511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	heheghosts 2023-5-30 10:23 3 楼 0 TkBinary 1.确定下自己是由符号的. nt!xxx存在.2.可以使用bu 看看. 3.使用下老的debug 条件断点.4.确定下你的base. 94和0x94是两回事.  可 ... 大佬，确认符号是正确加载了，使用了旧的bp断点也是如此，还有 !process 0 0 输出结果都很慢，有点无头绪了。。
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2023-5-30 10:26 4 楼 0 heheghosts 大佬，确认符号是正确加载了，使用了旧的bp断点也是如此，还有 !process 0 0 输出结果都很慢，有点无头绪了。。指定地址看看. 先别用符号. 如果还不在会不会就是根本没来.. 或者下断的值是错的.
heheghosts 雪币： 237 活跃值： (511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	heheghosts 2023-5-30 10:27 5 楼 1 TkBinary 1.确定下自己是由符号的. nt!xxx存在.2.可以使用bu 看看. 3.使用下老的debug 条件断点.4.确定下你的base. 94和0x94是两回事.  可 ... 莫不是因为使用串口调试的原因吗？
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2023-5-30 10:28 6 楼 0 heheghosts 莫不是因为使用串口调试的原因吗？串口确实很慢,有条件可以试试网络.
. 雪币： 2562 活跃值： (2178) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 112 粉丝 1 关注私信	. 2023-5-30 10:59 7 楼 0 windbg or windbg preview?
heheghosts 雪币： 237 活跃值： (511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	heheghosts 2023-5-30 11:11 8 楼 0 . windbg or windbg preview? windbg 和windbg preview 都是如此
heheghosts 雪币： 237 活跃值： (511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	heheghosts 2023-5-30 11:23 9 楼 0 TkBinary 串口确实很慢,有条件可以试试网络. 使用网络也是如此，有点懵了，难道是Vmware版本的问题，以前使用vm16是ok的，目前用的vm17 pro
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2023-5-30 13:43 10 楼 0 heheghosts 使用网络也是如此，有点懵了，难道是Vmware版本的问题，以前使用vm16是ok的，目前用的vm17 pro 应该无关. 那我不知道了了. 期待你能解决.
heheghosts 雪币： 237 活跃值： (511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	heheghosts 2023-5-31 20:00 11 楼 0 TkBinary 应该无关. 那我不知道了了. 期待你能解决.[em_85] 解决了，重新在vmware虚拟机中安装了windows 10，并使用网络调试解决了这个问题，谢谢大佬。最近在研究windows 内核异常处理，发现KiDispatchException无法断下，猜测应该是cc断点导致循环了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (10)
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2023-5-29 17:49 2 楼 1 1.确定下自己是由符号的. nt!xxx存在. 2.可以使用bu 看看. 3.使用下老的debug 条件断点. 4.确定下你的base. 94和0x94是两回事. 可以使用n 16设置下. 这样94代表的就是0x94. 精确下这个值. 5.NtWaitforsingobject第一个参数应该是句柄. 难道每次句柄是一样的吗? 可以试试 echo 输出下. bp nt!NtWaitForSingleObject"j (@rcx)==94 ''; 'gc' " bp nt!NtWaitForSingleObject ".if (@rcx==94) { } .else {gc}"
heheghosts 雪币： 237 活跃值： (511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	heheghosts 2023-5-30 10:23 3 楼 0 TkBinary 1.确定下自己是由符号的. nt!xxx存在.2.可以使用bu 看看. 3.使用下老的debug 条件断点.4.确定下你的base. 94和0x94是两回事.  可 ... 大佬，确认符号是正确加载了，使用了旧的bp断点也是如此，还有 !process 0 0 输出结果都很慢，有点无头绪了。。
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2023-5-30 10:26 4 楼 0 heheghosts 大佬，确认符号是正确加载了，使用了旧的bp断点也是如此，还有 !process 0 0 输出结果都很慢，有点无头绪了。。指定地址看看. 先别用符号. 如果还不在会不会就是根本没来.. 或者下断的值是错的.
heheghosts 雪币： 237 活跃值： (511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	heheghosts 2023-5-30 10:27 5 楼 1 TkBinary 1.确定下自己是由符号的. nt!xxx存在.2.可以使用bu 看看. 3.使用下老的debug 条件断点.4.确定下你的base. 94和0x94是两回事.  可 ... 莫不是因为使用串口调试的原因吗？
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2023-5-30 10:28 6 楼 0 heheghosts 莫不是因为使用串口调试的原因吗？串口确实很慢,有条件可以试试网络.
. 雪币： 2562 活跃值： (2178) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 112 粉丝 1 关注私信	. 2023-5-30 10:59 7 楼 0 windbg or windbg preview?
heheghosts 雪币： 237 活跃值： (511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	heheghosts 2023-5-30 11:11 8 楼 0 . windbg or windbg preview? windbg 和windbg preview 都是如此
heheghosts 雪币： 237 活跃值： (511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	heheghosts 2023-5-30 11:23 9 楼 0 TkBinary 串口确实很慢,有条件可以试试网络. 使用网络也是如此，有点懵了，难道是Vmware版本的问题，以前使用vm16是ok的，目前用的vm17 pro
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2023-5-30 13:43 10 楼 0 heheghosts 使用网络也是如此，有点懵了，难道是Vmware版本的问题，以前使用vm16是ok的，目前用的vm17 pro 应该无关. 那我不知道了了. 期待你能解决.
heheghosts 雪币： 237 活跃值： (511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	heheghosts 2023-5-31 20:00 11 楼 0 TkBinary 应该无关. 那我不知道了了. 期待你能解决.[em_85] 解决了，重新在vmware虚拟机中安装了windows 10，并使用网络调试解决了这个问题，谢谢大佬。最近在研究windows 内核异常处理，发现KiDispatchException无法断下，猜测应该是cc断点导致循环了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复