如何从内核调试器访问用户模式调试器
在某些情况下,您可能希望使用用户模式调试器从内核调试器中调试进程。它可能是你有一个加载内核模式驱动程序的应用程序,并且你希望能够调试应用程序的用户模式方面,然后进入内核以跟踪对内核的调用。
这是你需要做的!
通过串行电缆(调制解调器电缆)、USB电缆或FireWire电缆连接内核调试器,并将您的计算机配置为内核调试。要在Vista或Windows 2008上启用调试选项,必须使用bcdedit.exe文件因为那些操作系统不再使用启动.ini文件。下面是一个例子:
bcdedit /debug {<guid>} <ON | OFF> bcdedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200
将新的调试器KEY添加到进程的“Image File Execution Options”中。在这种情况下,我们将使用记事本.exe作为目标进程。新KEY如下所示:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe
在这个名为“debugger”的键下添加一个包含值“ntsd–d”的字符串值。以下是注册表更改的屏幕截图以供参考。
-d选项将NTSD的输出重定向到内核调试器,允许通过内核调试器进行远程控制。
有了这个新键,当记事本.exe开始。注意:完成调试后删除注册表项很重要。
现在可以通过内核调试器发出任何标准的NTSD命令。
当您准备好进入内核并在内核调试器下运行时,只需键入.breakin
为虫子生,为虫子死,为虫子奋斗一辈子