gpt4 book ai didi

debugging - ntdll.dll映射到新进程时如何闯入WinDBG

转载 作者:行者123 更新时间:2023-12-04 18:47:21 24 4
gpt4 key购买 nike

当 ntdll.dll 映射到新进程时,以及任何 ntdll 的进程初始化运行之前,我想使用以下命令闯入 WinDBG。

sxe ld ntdll.dll ;g

然而,这个技巧根本不起作用,

ModLoad: 7c900000 7c9b0000   ntdll.dll
eax=010043af ebx=7ffde000 ecx=020f18f5 edx=00000034 esi=00c2f720 edi=00c2f6f2
eip=7c810867 esp=0006fffc ebp=00000720 iopl=0 nv up ei pl nz na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000 efl=00000200
7c810867 ?? ???
Processing initial command 'sxe ld ntdll.dll ;g'
0:000> sxe ld ntdll.dll ;g
(ae8.6f4): Break instruction exception - code 80000003 (first chance)
eax=00181eb4 ebx=7ffde000 ecx=00000001 edx=00000002 esi=00181f48 edi=00181eb4
eip=7c901230 esp=0006fb20 ebp=0006fc94 iopl=0 nv up ei pl nz na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202
ntdll!DbgBreakPoint:
7c901230 cc int 3

那么,当ntdll.dll映射到新进程时,如何闯入WinDBG呢?
谢谢

[更新]

我完全按照 jcopenha 提到的步骤进行操作,但我不知道 Windbg 为什么会在运行 Notepad.exe 时出现奇怪的错误( Memory access error )。

请帮帮我!非常感谢!
0:000> .restart /f
CommandLine: C:\WINDOWS\NOTEPAD.EXE
Symbol search path is: D:\Symbols\Symbols;SRV*D:\Symbols\MySymbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
ModLoad: 01000000 01014000 notepad.exe
eax=0100739d ebx=7ffd9000 ecx=020f18f5 edx=0000004e esi=00f7f73a edi=00f7f6f2
eip=7c810867 esp=0007fffc ebp=0000024c iopl=0 nv up ei pl nz na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000 efl=00000200
7c810867 ?? ???
0:000> u 7c810867
7c810867 ?? ???
^ Memory access error in 'u 7c810867'

[更新2]
我发现一个奇怪的指令显示在 7c810867,但是 p 命令仍然可以工作。

它是 WinDBG 中的错误吗?

enter image description here

最佳答案

如果您转到 Debug->Event Filters 并将“创建进程”更改为“启用”然后重新启动应用程序,它将在 ntdll.dll 出现在模块列表中之前启动。如果你这样做 sxe ld ntdll.dll;g它将停在 ntdll!RtlUserThreadStart .

0:000> .restart /f
CommandLine: C:\Windows\System32\notepad.exe
Symbol search path is: SRV*d:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
ModLoad: 00000000`ffe00000 00000000`ffe35000 notepad.exe
00000000`7790c500 4883ec48 sub rsp,48h
0:000> sxe ld ntdll.dll;g
ModLoad: 00000000`778e0000 00000000`77a89000 ntdll.dll
ntdll!RtlUserThreadStart:
00000000`7790c500 4883ec48 sub rsp,48h

关于debugging - ntdll.dll映射到新进程时如何闯入WinDBG,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12143686/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com