本文介绍了如何在Windows上调试win32子系统,特别是LSASS.exe进程。通过分析三种调试方法,包括ntsd piped through KD、Debugging LSA via dbgsrv.exe和Debugging LSA from Kernel,详细阐述了每种方法的优缺点。作者最终选择了使用dbgsrv.exe,因为它允许在调试机上使用symbols和source files,虽然不能在启动时调试。文章还分享了设置dbgsrv开机运行和使用windbg进行远程调试的步骤,以及内核调试时的注意事项。
最近做的一个东西需要调试win32子系统(例如Lsass.exe进程),但是发现要对win32子系统进行调试好像比较麻烦。
首先想到的是它是运行在user mode, 因此一般来讲应该用user mode的调试工具来调试。可是,如果用debuuger直接
跟它相连,调试器退出时计算机就会自动重启,使得调试无法进行下去。其次,如果我们想在机器启动的时候调试
lsass也不可能,因为user mode debugger那个时候还不能工作。
经过一番google及认真研究,发现有三种方法可以用来调试lsass,并且各有优缺点。下面是收集到的资料。
1. ntsd piped through KD
a. 修改注册表
HKLM/Software/Microsoft/Windows NT/CurrenVersion/Image File Execution Options/lsass.exe
debugger = REG_SZ c:/debuggers/ntsd.exe -d -g -G
b. 用另一台机器通过kernal debugger和测试机相连
c.重起测试机
这样的话,在启动阶段,当系统调起lsass的时候,测试机的ntsd就开始工作,并且将输入,输出传送到kernal debugger上。这个属于
在kernal debugger里进行user mode的调试。
优点:可以在启动的时候调试lsass。
缺点:symbols and source files 必须要copy在测试机上。(不太方便)
2.Debugging LSA via dbgsrv.exe
a.Find the P
首先想到的是它是运行在user mode, 因此一般来讲应该用user mode的调试工具来调试。可是,如果用debuuger直接
跟它相连,调试器退出时计算机就会自动重启,使得调试无法进行下去。其次,如果我们想在机器启动的时候调试
lsass也不可能,因为user mode debugger那个时候还不能工作。
经过一番google及认真研究,发现有三种方法可以用来调试lsass,并且各有优缺点。下面是收集到的资料。
1. ntsd piped through KD
a. 修改注册表
HKLM/Software/Microsoft/Windows NT/CurrenVersion/Image File Execution Options/lsass.exe
debugger = REG_SZ c:/debuggers/ntsd.exe -d -g -G
b. 用另一台机器通过kernal debugger和测试机相连
c.重起测试机
这样的话,在启动阶段,当系统调起lsass的时候,测试机的ntsd就开始工作,并且将输入,输出传送到kernal debugger上。这个属于
在kernal debugger里进行user mode的调试。
优点:可以在启动的时候调试lsass。
缺点:symbols and source files 必须要copy在测试机上。(不太方便)
2.Debugging LSA via dbgsrv.exe
a.Find the P
最低0.47元/天 解锁文章
2695
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
