分类导航
wordpressDedecmsphpcmsDiscuz帝国CMS

调试 – 当ntdll.dll映射到新进程时如何进入WinDBG

wordpress   发布时间:2022-04-02  发布网站:大佬教程  code.js-code.com
大佬教程收集整理的这篇文章主要介绍了调试 – 当ntdll.dll映射到新进程时如何进入WinDBG大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。

概述

当ntdll.dll映射到新进程时,并且在任何ntdll的进程初始化运行之前,我想使用以下命令进入WinDBG. sxe ld ntdll.dll; g 但是,这个技巧根本不起作用, ModLoad: 7c900000 7c9b0000 ntdll.dll eax=010043af ebx=7ffde000 ecx=020f18f5 edx=00000034 esi=00c2f720 edi=
当ntdll.dll映射到新进程时,并且在任何ntdll的进程初始化运行之前,我想使用以下命令进入WinDBG.

sxe ld ntdll.dll; g

但是,这个技巧根本不起作用,

@H_380_25@modLoad: 7c900000 7c9b0000 ntdll.dll eax=010043af ebx=7ffde000 ecx=020f18f5 edx=00000034 esi=00c2f720 edi=00c2f6f2 eip=7c810867 esp=0006fffc ebp=00000720 iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000 efl=00000200 7c810867 ?? ??? Processing initial command 'sxe ld ntdll.dll ;g' 0:000> sxe ld ntdll.dll ;g (ae8.6f4): Break instruction exception - code 80000003 (first chancE) eax=00181eb4 ebx=7ffde000 ecx=00000001 edx=00000002 esi=00181f48 edi=00181eb4 eip=7c901230 esp=0006fb20 ebp=0006fc94 iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202 ntdll!DbgBreakPoint: 7c901230 cc int 3

那么,当ntdll.dll映射到新进程时,如何进入WinDBG?
谢谢

[updatE]

我完全按照jcopenha提到的步骤,但我不知道为什么Windbg会在Notepad.exe运行时发出一个奇怪的错误(内存访问错误).

请帮我一把!非常感谢!

0:000> .restart /f
CommandLine: C:\WINDOWS\NOTEPAD.EXE
Symbol search path is: D:\Symbols\Symbols;SRV*D:\Symbols\MySymbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
ModLoad: 01000000 01014000   notepad.exe
eax=0100739d ebx=7ffd9000 ecx=020f18f5 edx=0000004e esi=00f7f73a edi=00f7f6f2
eip=7c810867 esp=0007fffc ebp=0000024c iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000             efl=00000200
7c810867 ??              ???
0:000> u 7c810867
7c810867 ??              ???
            ^ Memory access error in 'u 7c810867'

[updatE2]
我发现在7c810867显示了一条奇怪的指令,但是p命令仍然可以工作.

它是WinDBG中的一个错误吗?

解决方法

如果您转到Debug->事件过滤器并将“创建过程”更改为“已启用”,则重新启动它将在Ntdll.dll出现在模块列表中之前启动的应用程序.如果你然后执行sxe ld ntdll.dll; g它将在Ntdll中停止!RtlUserThreadStart. 

0:000> .restart /f
CommandLine: C:\Windows\System32\notepad.exe
Symbol search path is: SRV*d:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
ModLoad: 00000000`ffe00000 00000000`ffe35000   notepad.exe
00000000`7790c500 4883ec48        sub     rsp,48h
0:000> sxe ld ntdll.dll;g
ModLoad: 00000000`778e0000 00000000`77a89000   ntdll.dll
ntdll!RtlUserThreadStart:
00000000`7790c500 4883ec48        sub     rsp,48h

大佬总结

以上是大佬教程为你收集整理的调试 – 当ntdll.dll映射到新进程时如何进入WinDBG全部内容,希望文章能够帮你解决调试 – 当ntdll.dll映射到新进程时如何进入WinDBG所遇到的程序开发问题。

如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。
标签:dllntdllntdll.dllwindbg如何映射调试进入进程
猜你在找的wordpress相关文章
其他相关热搜词更多
phpJavaPython程序员load如何string使用参数jquery开发安装listlinuxiosandroid工具javascriptcap