由windbg断kernel32下的函数
来源:互联网 发布:淘宝网网支付方式 编辑:程序博客网 时间:2024/05/16 11:17
由windbg断kernel32下的函数。
前提条件,假如windbg正在调试一台虚拟机,现在要查看一个kernel32函数的调用过程,
那么,ctl+break断下windbg,取得控制权;
此时,bp virtualAlloc等其他kernel32下的函数,是无法下断的,因为windbg现在处于内核态进程。
切换方法。
<1> !process -1 0 ;查看当前进程
PROCESS 80552b80 SessionId: none Cid: 0000 Peb: 00000000 ParentCid: 0000
DirBase: 00a8f000 ObjectTable: e1000cc0 HandleCount: 186.
Image: Idle
<2> !process 0 0 ;查看系统当前的所有进程,找到一个用户态进程,比如explorer.exe
PROCESS 81f4b510 SessionId: 0 Cid: 05d0 Peb: 7ffd4000 ParentCid: 05a0
DirBase: 079c01c0 ObjectTable: e16de670 HandleCount: 261.
Image: EXPLORER.EXE
<3> .process -i 81f4b510 (用户态进程eprocess地址)
提示如下:
You need to continue execution (press 'g' <enter>) for the context
to be switched. When the debugger breaks in again, you will be in
the new process context.
<4> g 输入命令:g,回车,切换到用户态进程
<5> .reload /f ;重新加载符号,这里主要是加载用户态符号
lm ;查看加载的模块
然后对需要跟踪的函数下断
bp CreateFilew ;注意,不能对CreateFile下断,所有对CreateFile的调用,编译时根据工程类型替换成w,a型函数。
bp VirtualAlloc 等
- 由windbg断kernel32下的函数
- Winxp下kernel32.dll内部的函数集合和地址值
- Winxp下kernel32.dll内部的函数集合和地址值(转)
- kernel32.dll中输出的函数名
- Kernel32.dll导出函数的CRC32码
- windbg双机调试时对R3函数下断
- 利用KERNEL32 API函数实现的通用延时函数DELAY
- KERNEL32相关函数
- C# Kernel32 导出函数
- kernel32.dll函数大全
- C# Kernel32 导出函数
- kernel32.dll函数介绍
- KERNEL32.dll的ExportTable以及如何查找导出的函数
- KERNEL32.DLL中可供调用的API函数列表
- 获得KERNEL32.DLL模块地址以及函数的地址
- NT内核下user32 gdi32 kernel32 ntdll之间的关系
- WinDbg 查看函数的参数
- Windbg查看函数的参数
- 在symbian上跑python的准备
- eclipse插件安装
- GTK Gossip: 自訂 callback 函式
- U-Boot(1)
- typeof运算符以及空接合运算符,运算符的优先级
- 由windbg断kernel32下的函数
- S60 wlan研究笔记
- SOA 与分布式
- 假如拥有时光机器和返老还童剂
- 用汇编代码解释变量声明定义概念
- C#的空接合运算符 三目运算符
- 用服务器的站长常犯的错误
- linux驱动开发中,关于[module.ko] undefined!报错
- System.Net.Mail 邮件发送
