用内核的调试方式去调试虚拟机
!process 0 0 winlogon.exe
.process /p 817152a8 切换进程
.reload /f /user 加载用户态的符号
.reload /f c:\my.dll=8e0000,28000 加载自定义的模块,用于查看内部的数据结构(dt命令)
.process /i /p 817152a8 非入侵式的attach
Bu,bp断点
断到windows api后找到具体变量的栈地址(事情用ida分析),用dt命令查看输入参数的内容
本文共 312 字,大约阅读时间需要 1 分钟。
用内核的调试方式去调试虚拟机
!process 0 0 winlogon.exe
.process /p 817152a8 切换进程
.reload /f /user 加载用户态的符号
.reload /f c:\my.dll=8e0000,28000 加载自定义的模块,用于查看内部的数据结构(dt命令)
.process /i /p 817152a8 非入侵式的attach
Bu,bp断点
断到windows api后找到具体变量的栈地址(事情用ida分析),用dt命令查看输入参数的内容
转载于:https://www.cnblogs.com/ahuo/archive/2012/01/13/2321684.html