啟動方法,可以不加-g表示啟用初始化斷點 在gflags中啟用FLG_ENABLE_KDEBUG_SYMBOL_LOAD 添加xxx.exe調(diào)試器為ntsd.exe -d -x -g 效果為增加以下注冊表項 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution 也可以以下命令行啟動用戶態(tài)調(diào)試器鏈接到內(nèi)核調(diào)試器 ntsd.exe -d -x -g xxx.exe Options\xxx.exe\Debugger 接下來看到內(nèi)核調(diào)試器加載觸發(fā)斷點,以下常用方法 需要SeDebugPrivilege,直接切換到內(nèi)核調(diào)試模式 .breakin 表示睡眠5000毫秒到內(nèi)核調(diào)試器,睡眠結(jié)束后返回用戶態(tài)調(diào)試器 .sleep 5000 列舉用戶態(tài)進程 .tlist -v 從內(nèi)核態(tài)直接返回用戶態(tài)調(diào)試器!bpid pid也可以用這個方法,結(jié)束睡眠返回用戶態(tài)調(diào)試器.wake pid

總結(jié)

以上是生活随笔為你收集整理的windbg中ntsd使用用户态调试器链接到内核调试器的常用技巧的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。