windbg 进程启动时调试

双机调试下,调试服务进程启动时的代码

设置NtCreateUserProcess断点

bp nt!NtCreateUserProcess

查看进程路径

dx ((nt!_RTL_USER_PROCESS_PARAMETERS**)(@$csp+89))->ImagePathName

g/pa

  • 非目标,g 继续执行
  • 是目标,pa NtCreateUserProcess函数的ret地址

pa xxxx_NtCreateUserProcess_retaddr

获取进程EPROCESS

!process 0 0 procname

切换content

.process /i /p xxxx_PROCESS
g

获取ImageBaseAddress

!process xxxx_PROCESS 1
!peb xxxx_pebaddr

计算断点va,设断点

bp /p xxxx_PROCESS va

执行

g
.reload /f /user    加载符号

win10 x64

posted @ 2022-12-01 20:42  DirWangK  阅读(175)  评论(0编辑  收藏  举报