WinDbg开启Local Kernel Debug

1、设置系统为调试模式(以win7为例)

徽标键+R打开运行，输入msconfig回车，打开系统配置面板

选择引导选项，点击高级选项(V)，弹出引导高级选项面板

把调试(D)勾上，点击确定，然后重启机器。

2、用管理员权限启动windbg

点击File菜单，点击Kernel Debugging，弹出Kernel Debugging设置面板

点击确定

3、然后可以用windbg命令查看内核模块的相关函数了。

例如：

lkd> u nt!ZwOpenKey
nt!ZwOpenKey:
fffff800`0427ebe0 488bc4          mov     rax,rsp
fffff800`0427ebe3 fa              cli
fffff800`0427ebe4 4883ec10        sub     rsp,10h
fffff800`0427ebe8 50              push    rax
fffff800`0427ebe9 9c              pushfq
fffff800`0427ebea 6a10            push    10h
fffff800`0427ebec 488d055d300000  lea     rax,[nt!KiServiceLinkage (fffff800`04281c50)]
fffff800`0427ebf3 50              push    rax