windbg 不用硬件断点，如何实现针对内核地址的读写断点？-编程技术-看雪-安全社区|安全招聘|kanxue.com

windbg 不用硬件断点，如何实现针对内核地址的读写断点？

发表于: 2017-2-21 10:38 4173

windbg 不用硬件断点，如何实现针对内核地址的读写断点？

wwqwwq

活跃值

2017-2-21 10:38

4173

rt，想跟踪记录某些内核地址的访问信息，这些地址数量比较多，都是动态生成的，因此硬件断点数量远不够用，而且访问这些内核地址的代码块不知道具体地址，不知道是否可能通过windbg命令修改内核地址属性为readonly，然后windbg捕获异常，编写脚本来处理记录这些信息？

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・0

免费・0

支持

分享

最新回复 (2)
mudebug 雪币： 10152 活跃值： (7390) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 322 粉丝 55 关注私信	mudebug 2 楼注册一个异常接收,VEH 或者 UEH 等，再不行HOOK 异常返回函数。只要能接收到异常就可以，然后把内存设置不可访问属性，然后代码读内存时就会触发一个异常。就达到你要的目的了。这时候把内存属性改回原来的属性，设置线程单步，单步执行完了再把内存地址设置不可访问。循环就完成了。 2017-2-21 11:00 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 3 楼 ept voliation 2017-2-25 10:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

wwqwwq

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区