Как взломать KD(Windbg) для краха Explorer
Я вижу сбой в Explorer.exe, из-за того, что наши файлы безопасности загружены в Explorer.exe.
Сбой происходит во время выключения системы. ВМ подключена к отладчику ядра. Я не вижу прерываний отладчика ядра, когда происходит исключение. Я перепробовал все фильтры отладочных событий. Но я не смог добиться успеха.
Может кто-то подсказать мне, почему я не смог увидеть разрыв, когда есть исключение. Я хочу взломать отладчик, точно в момент исключения. Могу ли я использовать SXE ud "dllName" в режиме ядра, чтобы уведомлять меня, когда dtic Perticula выгружается?
Исключение составлял Explorer Crash: "Инструкция по адресу 0x6ad88b5 ссылается на память по адресу 0x0000000. Память не может быть прочитана"
2 ответа
Это должно работать:
- Запустите gflags.exe из WinDbg.
- Перейдите на вкладку "Файл изображения", введите "explorer.exe" и нажмите клавишу TAB.
- Проверьте первый пункт " Стоп на исключение".
Теперь, когда сбой explorer.exe и отладчик ядра подключены, WinDbg должен сломаться.
Во-первых, загрузка или выгрузка DLL не вызовет прерывания при отладке в режиме ядра, однако они хорошо работают при отладке в пользовательском режиме.
Я считаю, что в режиме отладки в режиме ядра вы должны быть в состоянии сломаться, когда бинарные файлы режима ядра, такие как.SYS, загружаются или выгружаются.
Теперь к вашему вопросу. Один из способов может быть,
установите Windbg в качестве отладчика по умолчанию.
windbg.exe -I, Это обеспечит прерывание работы отладчика при возникновении любого исключения. Но это будет отладка в пользовательском режиме.Далее, учитывая, что у вас есть настройка KD, просто выполните
.breakin, переместит вас из пользовательского режима в режим отладки ядра.
Курсив - команды отладчика.