[windbg]kd - 进程上下文中的 sxe ld <dll> 不会触发

逆向工程 视窗 风袋 内核模式
2021-06-16 11:46:12

我试图在特定进程上下文中的内核调试器加载特定模块时停止。

我所做的是首先设置sxe ld [process-name]让我们说 calc.exe。

现在,当我运行 calc 时,它可以工作,但是当我设置sxe ld [dll-name](比如 kernel32/ntdll)时,它就无法工作。

1个回答

我认为这通常只能停止加载内核模块(例如驱动程序)。但是,这个 SO 答案声称它可以用于用户模式进程,如果您!gflag +ksl发送(启用内核调试器符号的加载)。

它还描述了如何设置特定于进程的内核断点,例如

kd> .process
    Implicit process is now 00112233`44556677
bp /p 0011223344556677 nt!NtMapViewOfSection

NtMapViewOfSection系统调用时,其他目的,负载的DLL所以由它阻止你应该抓住所有进一步的DLL加载。

其它你可能感兴趣的问题
上一篇Capstone 反汇编中的操作数地址与 IDA/HIEW 中的不同 下一篇蛮力远程 nop 雪橇内存地址