啟動(dòng)方法,可以不加-g表示啟用初始化斷點(diǎn) 在gflags中啟用FLG_ENABLE_KDEBUG_SYMBOL_LOAD 添加xxx.exe調(diào)試器為ntsd.exe -d -x -g 效果為增加以下注冊(cè)表項(xiàng) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution 也可以以下命令行啟動(dòng)用戶態(tài)調(diào)試器鏈接到內(nèi)核調(diào)試器 ntsd.exe -d -x -g xxx.exe Options\xxx.exe\Debugger 接下來(lái)看到內(nèi)核調(diào)試器加載觸發(fā)斷點(diǎn),以下常用方法 需要SeDebugPrivilege,直接切換到內(nèi)核調(diào)試模式 .breakin 表示睡眠5000毫秒到內(nèi)核調(diào)試器,睡眠結(jié)束后返回用戶態(tài)調(diào)試器 .sleep 5000 列舉用戶態(tài)進(jìn)程 .tlist -v 從內(nèi)核態(tài)直接返回用戶態(tài)調(diào)試器!bpid pid也可以用這個(gè)方法,結(jié)束睡眠返回用戶態(tài)調(diào)試器.wake pid

總結(jié)

以上是生活随笔為你收集整理的windbg中ntsd使用用户态调试器链接到内核调试器的常用技巧的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。