看流星社区

 找回密码
 注册账号
查看: 2118|回复: 0

R0与R3联调

[复制链接]

该用户从未签到

发表于 2017-6-1 13:34:41 | 显示全部楼层 |阅读模式
<ul class="text" style="margin:0px; padding:0px; list-style:none; font-size:14px; word-wrap:break-word; color:rgb(63,62,60); font-family:'Hiragino Sans GB',微软雅黑,黑体,Arial,sans-serif">

1:使用!process 0 0 获取用户空间的进程的信息 //这步之前已经给要调试的驱动加载符号了
!process 0 0
2:使用.process /p &#43; 你需要调试的应用程序的EProcess地址,切换到应用程序的地址空间
.process /p 0x81a02af0
3:重新加载user程序的 PDB文件 (需在Windbg里设置好R3的符号和源代码)然后运行(不要在对话框里的reload位置点勾)://不用设置R0的代码
.reload /f /user
4:使用非侵入式的切换进程空间
.process /i /p 0x81a02af0
5:下应用层断点
bpuser32!ExitProcess

注意在x64下使用kv kb kp命令不能显示从R3-&gt;R0的调用
而在x86下使用kv kb kp命令是显示整个调用过程的
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-3-19 14:32

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表