最近做的一个东西需要调试win32子系统(例如Lsass.exe进程),但是发现要对win32子系统进行调试好像比较麻烦。
首先想到的是它是运行在user mode, 因此一般来讲应该用user mode的调试工具来调试。可是,如果用debuuger直接
跟它相连,调试器退出时计算机就会自动重启,使得调试无法进行下去。其次,如果我们想在机器启动的时候调试
lsass也不可能,因为user mode debugger那个时候还不能工作。
经过一番google及认真研究,发现有三种方法可以用来调试lsass,并且各有优缺点。下面是收集到的资料。
1. ntsd piped through KD
a. 修改注册表
HKLM/Software/Microsoft/Windows NT/CurrenVersion/Image File Execution Options/lsass.exe
debugger = REG_SZ c:/debuggers/ntsd.exe -d -g -G
b. 用另一台机器通过kernal debugger和测试机相连
c.重起测试机
这样的话,在启动阶段,当系统调起lsass的时候,测试机的ntsd就开始工作,并且将输入,输出传送到kernal debugger上。这个属于
在kernal debugger里进行user mode的调试。
优点:可以在启动的时候调试lsass。
缺点:symbols and source files 必须要copy在测试机上。(不太方便)
2.Debugging LSA via dbgsrv.exe
a.Find the P
首先想到的是它是运行在user mode, 因此一般来讲应该用user mode的调试工具来调试。可是,如果用debuuger直接
跟它相连,调试器退出时计算机就会自动重启,使得调试无法进行下去。其次,如果我们想在机器启动的时候调试
lsass也不可能,因为user mode debugger那个时候还不能工作。
经过一番google及认真研究,发现有三种方法可以用来调试lsass,并且各有优缺点。下面是收集到的资料。
1. ntsd piped through KD
a. 修改注册表
HKLM/Software/Microsoft/Windows NT/CurrenVersion/Image File Execution Options/lsass.exe
debugger = REG_SZ c:/debuggers/ntsd.exe -d -g -G
b. 用另一台机器通过kernal debugger和测试机相连
c.重起测试机
这样的话,在启动阶段,当系统调起lsass的时候,测试机的ntsd就开始工作,并且将输入,输出传送到kernal debugger上。这个属于
在kernal debugger里进行user mode的调试。
优点:可以在启动的时候调试lsass。
缺点:symbols and source files 必须要copy在测试机上。(不太方便)
2.Debugging LSA via dbgsrv.exe
a.Find the P