如何使用Windbg自动抓取禁止使用调试器程序的dump

前面我们讲到了如何使用Windbg调试禁止使用调试器的程序，但是如果该程序并不是每次都会发生异常，而我们又想抓取异常的第一现场，每次启动程序的时候都输入命令太麻烦了，本文主要讲述如何自动处理这个问题。

 

1. 使用IFEO自动加载调试器

    注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options

中新建Key，Key名称为被调试的程序名称，如TestCrash.exe

   在该Key下新建一个字符串项，名称为Debugger，内容为"D:/Program Files/Debugging Tools for Windows (x86)/windbg.exe"

   此时启动TestCrash.exe，Windbg会自动启动并附加到该进程。IFEO可以参考http://support.microsoft.com/?kbid=824344

2. 调试器加载时自动执行命令，修改peb+2的内存标志

    我们的目标是想在启动时自动执行一些命令，修改内存值，使程序可以继续调试，因此修改注册表中Debugger的内容，是Windbg带上命令参数：

"D:/Program Files/Debugging Tools for Windows (x86)/windbg.exe" -c "~0s;eb poi(fs:18:30)+2 0; g"

 

3. 程序运行，Crash的第一现场可以被Windbg抓获了