如何使用windbg内核调试调试.exe

点击联系发帖人 时间：2017-06-27 08:49

windbg调试

那么到底要如何用windbg内核调试调试 edge 呢下面是官方的方法，在命令行启动调试器进行调试

首先，打开edge 用windbg内核调试随便附加一个edge进程，中断后执行下面的命令。

下面会囿一长串的输出CTRL+F 进入搜索模式，搜索一下 “microsoftedge" 找到下面的一段输出：

第三个参数是浏览器的输入参数，是一个url 这样打开浏览器的时候，可以指定打开大的页面

然后就进入了调试状态。

}

Breakpointwindbg内核调试会记住这个断点，当這个驱动被加载了并且执行到这个地方windbg内核调试会暂停GuestOS让你进行调试操作。drivername是你的驱动名字比如我在这里的驱动名字是SSDTTool，那我在这里輸入的命令如下：
回车后即下好断点了现在打开源文件，源文件在HostOS呢“Ctrl+O”找到驱动的源文件打开，如图：
还要设置符号路径“Ctrl+S”打開设置窗体，符号路径一般有两个（可以有多个）一个是你设置保存系统DLL的PDB文件的路径，另一个是你驱动的PDB的路径以分号隔开。如下：
记得勾选“Reload”OK后稍等片刻，等windbg内核调试把这些东西加载完毕后再操作加载完后我们输入“g”，回车让GuestOS跑起来。在GuestOS里运行驱动加载/卸载工具把我们的驱动加载起来可以看到，已经断下来了我们可以源码调试驱动了：
注：打开源文件和设置符号路径可以在一开始的時候就做，这是没有严格先后顺序的

}

在公司为了分析一个没有PDB的驱动.頭都炸了...

windbg内核调试调那个玩意简直反人类啊

用IDA+windbg内核调试调试内核.半分钟走一步.那速度根本没办法玩

以前写驱动都是直接VS13+windbg内核调试调试.速度吔不错.而且都是直接看着源代码F1

不过现在我打开了新世界...

重启以后会卡在这里.需要windbg内核调试接上去g一下不然永远都不走

但是这里不用windbg内核調试. IDA已经集成进去了

过来配置windbg内核调试.我在家只有这种中文版

填错会导致驱动断电断不下来

最后一个要按照VirtualKD的来填

启动后会自动接上去.这裏不能用G.只能点那个三角来go

我没设置启动加载.如果直接设置启动加载,完全不需要进入界面就能调试.速度会更快一点

速度跟飞一样.没有PDB的时候用windbg内核调试.调的根本不知道自己叫什么.在哪里.

而且用这个也不需要去手动sxe bu bp 算偏移入口

KD这个东西用来加速很吊.而且是万能出装.用VS+windbg内核调试嘚套路也能搭配上.这里我就不演示了

最后.断点貌似只能在入口点下.不然断不下来

}

叫阿莫西中心