debugging - ntdll.dll映射到新进程时如何闯入WinDBG-6ren

debugging - ntdll.dll映射到新进程时如何闯入WinDBG

转载作者：行者123 更新时间：2023-12-04 18:47:21

24

4

当 ntdll.dll 映射到新进程时，以及任何 ntdll 的进程初始化运行之前，我想使用以下命令闯入 WinDBG。

sxe ld ntdll.dll ;g

然而，这个技巧根本不起作用，

ModLoad: 7c900000 7c9b0000   ntdll.dll
eax=010043af ebx=7ffde000 ecx=020f18f5 edx=00000034 esi=00c2f720 edi=00c2f6f2
eip=7c810867 esp=0006fffc ebp=00000720 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000             efl=00000200
7c810867  ??              ???
Processing initial command 'sxe ld ntdll.dll ;g'
0:000> sxe ld ntdll.dll ;g
(ae8.6f4): Break instruction exception - code 80000003 (first chance)
eax=00181eb4 ebx=7ffde000 ecx=00000001 edx=00000002 esi=00181f48 edi=00181eb4
eip=7c901230 esp=0006fb20 ebp=0006fc94 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000202
ntdll!DbgBreakPoint:
7c901230 cc              int     3

那么，当ntdll.dll映射到新进程时，如何闯入WinDBG呢？
谢谢

[更新]

我完全按照 jcopenha 提到的步骤进行操作，但我不知道 Windbg 为什么会在运行 Notepad.exe 时出现奇怪的错误( Memory access error )。

请帮帮我!非常感谢!

0:000> .restart /f
CommandLine: C:\WINDOWS\NOTEPAD.EXE
Symbol search path is: D:\Symbols\Symbols;SRV*D:\Symbols\MySymbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
ModLoad: 01000000 01014000   notepad.exe
eax=0100739d ebx=7ffd9000 ecx=020f18f5 edx=0000004e esi=00f7f73a edi=00f7f6f2
eip=7c810867 esp=0007fffc ebp=0000024c iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000             efl=00000200
7c810867 ??              ???
0:000> u 7c810867
7c810867 ??              ???
            ^ Memory access error in 'u 7c810867'

[更新2]
我发现一个奇怪的指令显示在 7c810867，但是 p 命令仍然可以工作。

它是 WinDBG 中的错误吗？

enter image description here

最佳答案

如果您转到 Debug->Event Filters 并将“创建进程”更改为“启用”然后重新启动应用程序，它将在 ntdll.dll 出现在模块列表中之前启动。如果你这样做 sxe ld ntdll.dll;g它将停在 ntdll!RtlUserThreadStart .

0:000> .restart /f
CommandLine: C:\Windows\System32\notepad.exe
Symbol search path is: SRV*d:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
ModLoad: 00000000`ffe00000 00000000`ffe35000   notepad.exe
00000000`7790c500 4883ec48        sub     rsp,48h
0:000> sxe ld ntdll.dll;g
ModLoad: 00000000`778e0000 00000000`77a89000   ntdll.dll
ntdll!RtlUserThreadStart:
00000000`7790c500 4883ec48        sub     rsp,48h

关于debugging - ntdll.dll映射到新进程时如何闯入WinDBG，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/12143686/

24

4

0

文章推荐： Xcode 运行脚本警告和错误消息被截断

文章推荐： wpf - Prism - 使用它的坏主意？

文章推荐： listview - Metro App XAML 中 ListView 中的 SelectedItem 样式

文章推荐： Django 文件上传进度

java - 新 PrintWriter(新 BufferedWriter(新 PrintWriter(s.getOutputStream，真)))
我想知道有没有可能做 new PrintWriter(new BufferedWriter(new PrintWriter(s.getOutputStream, true))) 在 Java 中，s
java - 新 ConcurrentHashMap 新 ConcurrentHashMap
我正在尝试使用 ConcurrentHashMap 初始化 ConcurrentHashMap private final ConcurrentHashMap > myMulitiConcurrent
.net - 新{object}与{object} =新{object}
我只是想知道两个不同的新对象初始化器之间是否有任何区别，还是仅仅是语法糖。因此: Dim _StreamReader as New Streamreader(mystream) 与以下内容不同: D
c++ - A* pA = 新 A 之间的差异；和 A* pA = 新 A();
在 C++ 中，以下两种动态对象创建之间的确切区别是什么: A* pA = new A; A* pA = new A(); 我做了一些测试，但似乎在这两种情况下，都调用了默认构造函数，并且只调用了它。
vb.net - xslt.Load(新 XmlTextReader(新 StringReader(xslt))) "xslt compile error"
我已经阅读了其他帖子，但它们没有解决我的问题。环境为VB 2008(2.0 Framework)下面的代码在 xslt.Load 行导致 XSLT 编译错误下面是错误的输出。我将 XSLT 作为字符串
javascript - 警报(新 boolean 值(假))与console.log(新 boolean 值(假))
我想知道为什么alert(new Boolean(false))打印 false 而不是打印对象，因为 new Boolean 应该返回对象。如果我使用 console.log(new Boolean
Python装饰器用法实例总结(新)
本文实例讲述了Python装饰器用法。分享给大家供大家参考，具体如下：写装饰器装饰器只不过是一种函数，接收被装饰的可调用对象作为它的唯一参数，然后返回一个可调用对象（就像前面的简单例子）注
r - 在knitr中指定多个同时输出格式(新)
我可以编写 YAML header 来使用 knit 为 R Markdown 文件生成多种输出格式吗？我无法重现 the original question with this title 的答案中
r - 在knitr中指定多种同时输出格式(新)
我可以编写一个YAML标头以使用knitr为R Markdown文件生成多种输出格式吗？我无法重现the original question with this title答案中描述的功能。这个降价
r - 绘制脉冲响应函数(新)
我正在使用vars package可视化脉冲响应。示例: library(vars) Canada % names ir % `$`(irf) %>% `[[`(variables[e])) %>%
c# - 如何对泛型约束类使用方法隐藏(新)
我有一个容器类，它有一个通用参数，该参数被限制到某个基类。提供给泛型的类型是基类约束的子类。子类使用方法隐藏(新)来更改基类方法的行为(不，我不能将其设为虚拟，因为它不是我的代码)。我的问题是"new
java - 找不到符号 = 新
Java 在提示! cannot find symbol symbol : constructor Bar() location: class Bar JPanel panel =
新 Activity 开始后Android跟踪触摸事件
在我的应用程序中，一个新的 Activity 从触摸按钮(而不是点击)开始，而且我没有抬起手指并希望在新的 Activity 中跟踪触摸的 Action 。第二个 Activity 中的触摸监听器不响
ios - 新/相关应用程序的应用程序内公告？
已关闭。此问题旨在寻求有关书籍、工具、软件库等的建议。不符合Stack Overflow guidelines .它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题，
Python 在第一行以外的任何行都找不到短语(新)
和我的last question ，我的程序无法检测到一个短语并将其与第一行以外的任何行匹配。但是，我已经解决并回答了。但现在我需要一个新的 def函数，它删除某个(给定 refName )联系人及其
html - (新)制作水平列表
这个问题在这里已经有了答案: Horizontal list items (7 个答案) 关闭 9 年前。
c++ - 新 float
我想创建一个新的 float 类型，大小为 128 位，指数为 4 字节(32 位)，小数为 12 字节(96 位)，我该怎么做输入 C++，我将能够在其中进行输入、输出、+、-、*、/操作。 [我正
c++ - 安置问题 - 新!
我在放置引用计数指针的实例时遇到问题类到我的数组类中。使用调试器，似乎永远不会调用构造函数(这会扰乱引用计数并导致行中出现段错误)! 我的 push_back 函数是: void push_back
c++ - 新/删除运算符不匹配错误有多严重？
我在我们的代码库中发现了经典的新建/删除不匹配错误，如下所示: char *foo = new char[10]; // do something delete foo; // instead of
c++ - A *a = 新 A();这会创建一个指针还是一个对象？
A *a = new A(); 这是创建一个指针还是一个对象？我是一个 c++ 初学者，所以我想了解这个区别。最佳答案两者:您创建了一个新的 A 实例(一个对象)，并创建了一个指向它的名为 a

首页

博学

6Ren·AI

商城

debugging - ntdll.dll映射到新进程时如何闯入WinDBG