windbg-跳过初始断点(调试技巧)

最新推荐文章于 2024-06-11 13:44:02 发布
最新推荐文章于 2024-06-11 13:44:02 发布
阅读量853 收藏
点赞数
分类专栏: C/C++ windbg 
 

  1. ntdll!LdrpDoDebuggerBreak+0x2c:

  2. 7757054e cc int 3

  3. 0:000> kv

  4. ChildEBP RetAddr Args to Child

  5. 0030f3c8 77550e00 7ffdf000 7ffd3000 775a714c ntdll!LdrpDoDebuggerBreak+0x2c (FPO: [SEH])

  6. 0030f528 77536047 0030f59c 774d0000 7121b76b ntdll!LdrpInitializeProcess+0x11a9 (FPO: [2,83,4])

  7. 0030f578 775335e9 0030f59c 774d0000 00000000 ntdll!_LdrpInitialize+0x78 (FPO: [SEH])

  8. 0030f588 00000000 0030f59c 774d0000 00000000 ntdll!LdrInitializeThunk+0x10 (FPO: [2,0,0]


LdrpInitialize函数是一个新进程的初始线程开始在用户态执行最早代码,LdrpInitializeProcess函数的一个主要任务是加载EXE文件所依赖的动态链接库,在加载每个DLL后,LdrpInitializeProcess都会检查当前进程是否被调试,如果是,则调用用DbgBreakPoint 通知调试器,注意此时并没有调用每个DLL的Dllmain函数

 

初始断点不是调试器可以得到的最早控制机会,如进程创建事件和EXE模块加载事件都会比它早

如:

sxe cpr

然后.restart就可以先断到进程创建的时候
然后强制把PEB的BeingDebugged字段改为0:

 

  1. 0:000> db @$peb

  2. 7ffdb000 00 00 01 08 ff ff ff ff-00 00 2e 01 00 00 00 00 ................

  3. 7ffdb010 00 00 01 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

  4. 7ffdb020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

  5. 7ffdb030 00 00 00 00 00 00 00 00-00 00 71 77 00 00 00 00 ..........qw....

  6. 7ffdb040 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

  7. 7ffdb050 00 00 00 00 00 00 00 00-00 00 fa 7f 00 00 fa 7f ................

  8. 7ffdb060 24 00 fd 7f 04 00 00 00-00 00 00 00 00 00 00 00 $...............

  9. 7ffdb070 00 80 9b 07 6d e8 ff ff-00 00 10 00 00 20 00 00 ....m........ ..

  10. 0:000> eb @$peb+2

  11. 7ffdb002 01 0

  12. 0

  13. 7ffdb003 08

  14.  

  15. 0:000> db @$peb

  16. 7ffdb000 00 00 00 08 ff ff ff ff-00 00 2e 01 00 00 00 00 ................

  17. 7ffdb010 00 00 01 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

这样,windbg就不会中断到初始断点了

luchengbiao
关注
专栏目录
Windbg中设置断点追踪打开C++程序远程调试开关的模块
dvlinker的技术专栏
07-27 62
Windbg中设置断点追踪打开C++程序远程调试开关的模块
【C++软件调试技术】使用 Windbg 分析软件异常时的诸多细节与技巧总结
dvlinker的技术专栏
01-11 1万+
使用 Windbg 分析软件异常时的诸多细节与技巧总结。
windbg调试-----断点设置
windows 驱动 反汇编 逆向
03-23 5152
    几个基本概念:     1:windbg中的符号和语句命令   ;    命令分隔符   {}     表达式块   $$    命令中的注释,已 “;”代表注释结束    .catch   当程序错误的时候,防止程序终止   .if   .do .while .break .for .else 和C语言中的关键字类似  几个命令:    c命令:比
windbg学习----初始断点
weixin_30278311的博客
10-09 215
ntdll!LdrpDoDebuggerBreak+0x2c: 7757054e cc int 3 0:000> kv ChildEBP RetAddr Args to Child 0030f3c8 77550e00 7ffdf000 7ffd3000 775a714c ntdll!LdrpDoDebuggerBreak...
[Windbg]断点
LYSM
04-15 214
指令 功能 bl 列出系统中已经有的断点 bc 清除断点例如: bc 1 -10 删除1 -10的断点. bc*清除全部 bd 禁用断点 be 激活断点 bp [address][模块名字][偏移] 下断点 bp xxModule!DisPatchRead + 0x30 bu module!fun 模块名加函数下断点. bm module!fun* 支持通配符下断点 ba [w len] [r len] [e len] address 下内存(读、写、执行)断点 ...
windbg对dll装载断点
mengxp的博客
03-17 369
sxe ld:VA_X
WinDBG技巧:在加载/卸载一个DLL 的时候下断点
IE浏览器开发
02-06 9322
加载某个DLL 的时候下断点WinDBG 命令:sxe ld:[dll name]卸载某个DLL 的时候下断点WinDBG命令:sxe ud:[dll name]比如:sxe ld:wininet  (在wininet.dll 被装载的时候断点) 还可以通过直接在DllMain下断点来达到相同目的:bu wininet!DllMain 
Visual Studio高效调试手段与调试技巧总结
最新发布
dvlinker的技术专栏
06-11 1万+
本文详细讲述Visual Studio常用的高效调试手段与技巧
Visual Studio调试技巧与实用方法总结(实战经验分享)
dvlinker的技术专栏
05-21 3万+
本文详细讲述Visual Studio常用的高效调试手段与技巧
windbg的使用四(Windbg检查死锁 )
心之所向,身之所往
05-05 9739
windbg的使用四(Windbg检查死锁 )   2011-10-14 14:29:44|  分类: windbg用法|举报|字号 订阅        死锁问题,绝对是个令人发狂的问题,特别是工程比较大,引用开源库及第三方库比较多时。我最近就遇到这么一个死锁问题,工程是别人的,很多业务的代码都看不明白,这个时候出现死锁,让我郁闷了一个星期,终于在原来同事的
Hiveserver2远程Debug
weixin_42229056的博客
12-27 468
cao, 远程debug了一天,中间各种问题,网络问题,机器问题,终于成功了,艹,fuck
windows内核情景分析--系统调用
maomao171314的专栏
04-04 1728
Windows的地址空间分用户模式与内核模式,低2GB的部分叫用户模式,高2G的部分叫内核模式,位于用户空间的代码不能访问内核空间,位于内核空间的代码却可以访问用户空间 一个线程的运行状态分内核态与用户态,当指令位于用户空间时,就表示当前处于内核态,当指令位于内核空间时,就处于内核态. 一个线程由用户态进入内核态的途径有3种典型的方式: 1、 主动通过int 2e(软中断自陷方式)或syse
JIT的初始断点
Viper的专栏
02-16 878
<br />上网好好的,忽然IE Crash了,windbg作为JIT被自动启动起来,下意识的输入!runaway, ~* kv查看,发现所有的线程都在ntdll!KiFastSystemCallRet,也就是在内核中,一时间很奇怪,那IE怎么crash的?带着这个问题,中饭都没吃好。<br /> <br />苦思了很久之后,一下子顿悟了。当时的断点应该是初始断点,也就是ntdll!DbgUiRemoteBreakin,而真正的罪魁祸首应该还需要再g一下,跳过这个无意义的初始断点,虽然当时的IE已经没了,幸
windows用户态调试
hb_zxl的专栏
05-09 1108
windows用户态调试 打开windows的记事本小程序,windbg attach到这个进程,发现notepad不能动了,这是用户态调试的特点: 今天调试模式,应用程序所有线程都处于freeze状态。 观察一下线程状态: 会看到有6个线程。 0:006> ~* 0 Id: 1de4.1f6c Suspend: 1 Teb: 000007ff`fffdc000 Unfrozen Start: notepad!WinMainCRTStartup (00000000`ff683ac...
Windbg的使用
nwhasd的博客
10-22 613
Windbg的使用
WinDbg断点调试FFmpeg
u012117034的博客
06-13 703
本文主要讲解 WinDbg 调试器的使用。WinDbg在 Windows 里面的地位,就跟 GDB 在 Linux 的地位一样。可以通过 微软的官方网站 安装 WinDbgWinDbg 是比较轻量级的调试工具,在一些场景下比较实用,例如不方便安装 vs2019。...
本地计算机上的XXX服务启动后又停止了——Windows Service服务调试(二)
热门推荐
喜怒形于色
10-23 5万+
Service启动失败,后提示以下错误信息: 查了一下资料,应该是服务的逻辑代码出了问题,打开控制面板/管理工具/事件查看器 ->应用程序 里发现了如下信息:双击错误信息,即可找到服务的错误提示!~!~根据错误的提示信息,可检查代码。 
WCF学习之旅—基于ServiceDebug的异常处理(十七)
weixin_33885253的博客
07-12 135
            WCF学习之旅—WCF中传统的异常处理(十六)   二、基于ServiceDebug的异常处理       从前面的示例中,可以看到客户端捕获了异常,这是我们处理异常的前提。为了有利于我们进行有效的调试,WCF提供了ServiceDebug Service Behavior。我们可以通过设置&lt;serviceDebug includeExceptionDetail...
VMware-Windbg-Win7内核驱动调试全攻略
"VMware+Windbg+Win7内核驱动调试" 在IT行业中,进行驱动程序的开发和调试是一项复杂而重要的任务。本资源详细介绍了如何在VMware虚拟机中搭建一个基于Windbg的Windows 7内核驱动调试环境。以下是搭建过程的关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值