windbg 调试lsass.exe 记录
//寻找lsass的EPROCESS
!process 0 0 lsass.exe
//切换进程空间到lsass
.process /i ffffbc02f3760080 ;g
//检查当前进程
!thread -p -1 0
//刷新kd维护的用户态加载模块列表使之匹配当前进程
.reload /f /user
//设置断点
bp /p @$proc msv1_0!SpAcceptCredentials
//寻找lsass的EPROCESS
!process 0 0 lsass.exe
//切换进程空间到lsass
.process /i ffffbc02f3760080 ;g
//检查当前进程
!thread -p -1 0
//刷新kd维护的用户态加载模块列表使之匹配当前进程
.reload /f /user
//设置断点
bp /p @$proc msv1_0!SpAcceptCredentials
