看流星社区

 找回密码
 注册账号
查看: 2044|回复: 0

NT6动态开启本地内核调试

[复制链接]

该用户从未签到

发表于 2017-6-1 13:33:59 | 显示全部楼层 |阅读模式
两个未导出变量 位置在KdSystemDebugControl下
本地内核调试需要用到KdSystemDebugControl函数 要动态的内核调试就需要来看看它干了什么
  1. PAGE:00000001404D9C00
  2. PAGE:00000001404D9C00                 mov     [rsp+arg_0], rbx
  3. PAGE:00000001404D9C05                 mov     [rsp+arg_8], rdi
  4. PAGE:00000001404D9C0A                 push    r12
  5. PAGE:00000001404D9C0C                 sub     rsp, 170h
  6. PAGE:00000001404D9C13                 mov     r10, rdx
  7. PAGE:00000001404D9C16                 and     [rsp+178h+var_134], 0
  8. PAGE:00000001404D9C1B                 and     qword ptr [rsp+178h+var_130], 0
  9. PAGE:00000001404D9C21                 and     [rsp+178h+P], 0
  10. PAGE:00000001404D9C27                 cmp     cs:KdpBootedNodebug, 0
  11. PAGE:00000001404D9C2E                 jnz     loc_1404DA4B7
  12. PAGE:00000001404D9C34                 cmp     cs:KdPitchDebugger, 0
  13. PAGE:00000001404D9C3B                 jnz     loc_1404DA4B7
  14. PAGE:00000001404D9C41                 cmp     cs:KdDebuggerEnabled, 0
  15. PAGE:00000001404D9C48                 jz      loc_1404DA4B7
  16. PAGE:00000001404D9C4E                 cmp     ecx, 0Eh
  17. PAGE:00000001404D9C51                 jg      loc_1404DA1D1
  18. PAGE:00000001404D9C57                 cmp     ecx, 0Eh
  19. PAGE:00000001404D9C5A                 jz      loc_1404DA112
  20. PAGE:00000001404D9C60                 sub     ecx, 7
  21. PAGE:00000001404D9C63                 jz      loc_1404DA0EB
复制代码

比较了KdpBootedNodebug KdPitchDebugger KdDebuggerEnabled
据我的了解KdpBootedNodebug非调试为1 此值是调试模式得代表之一
KdPitchDebugger 非调试也为1
KdDebuggerEnabled 不用多说 调试为1 非调试为0
而loc_1404DA4B7是返回失败
那么不用多说了
KdpBootedNodebug = FALSE;
KdPitchDebugger = FALSE;
KdDebuggerEnabled = TRUE;


Win8/8.1:KdLocalDebugEnabled = TRUE;
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-3-19 12:36

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表