-
-
[分享]通过内核态调试器重定向用户态调试器
-
发表于: 2020-7-13 23:32
-
一、通过内核态调试器重定向用户态调试器
在内核态调试会话中控制用户态调试器,并将用户态会话与系统行为同步起来。
在控制用户态调试器时,系统的行为是冻结的,所输入的指令会由用户态调试器执行,执行命令的时候系统是运行的,指令执行过程中输出的信息会打印在内核态调试器上,指令执行完后会冻结系统回到内核态调试器等待下一个输入,并且随时可以与内核态调试来回切换。
切换到用户态调试时,会显示用户态提示符Input>,切换到内核态调试时,会显示内核态提示符kd>。
需要注意的是,切换到内核态调试时,当前进程是调试器进程,不是被调试的目标进程。
二、使用场景:
1、在系统启动的早期阶段或者系统关闭的后期阶段当不存在交互式的控制台时调试进程;
2、分析进程间通信问题;
三、搭建步骤:
1、使用windbg内核态调试目标机器;
2、目标机器上用管理员权限以参数-d启动用户态调试器(调试器进程要有SeDebugPrivilege权限,所以要以管理员权限启动);
ntsd -d <Process Path>
ntsd -d -p <PID>
3、命令执行完后,自动切换到windbg内核调试器,显示的是用户态提示符Input>;
最后于 2020-7-14 14:40
被TechForBad编辑
,原因:
|
|
|---|---|
|
|
技能get!
|
|
|
|
|
|
|
