ntdll

ntdll

关注
发信
java - 查询数据库并以表形式显示结果时,只能选择第一个
ios - iOS中未要求自动更新订阅的订阅状态
javascript - 在Jest(Node.js)中从单例测试静态方法
android - 如何在 ListView 中保持开关状态
javascript - 如何在x轴下方制作带有其他垂直线的条形图
docker - 在Docker Hub中使用gitlab Repo
ios - 展示SKScene的UIViewController
iphone - 禁用快速查看
perl - 为什么我的 `my`变量不能在子内部访问?
c++ - C++ 0x 3d map 像在php关联数组中一样进行初始化
machine-learning - Matmul输入和权重矩阵的顺序?
java - 在带有Junit 5和spring boot 2的Mockito 2中未找到测试
ada - Ada:gnat gprbuild如何在库中链接?
c++ - 使用C++/Qt4应用程序作为Web应用程序的后端
macos - Shell脚本:从txt文件中删除第一列

windows - 我可以在ntdll.dll中设置断点!_LdrpInitializeProcess吗?

扫码查看

在调试Windows进程时,有时尽早中断是很方便的。

初始调用栈看起来像这样:

    ...
    ntdll.dll!_LdrpCallInitRoutine@16()  + 0x14 bytes
    ntdll.dll!_LdrpRunInitializeRoutines@4()  + 0x205 bytes
>   ntdll.dll!_LdrpInitializeProcess@20()  - 0x96d bytes
    ntdll.dll!__LdrpInitialize@12()  + 0x6269 bytes
    ntdll.dll!_KiUserApcDispatcher@20()  + 0x7 bytes

因此,在其中一个ntdll例程中设置一个断点应该确实会非常早地中断该过程。

但是,在调试器中启动进程之前,我无法弄清楚如何在此处设置断点。在Visual Studio(2005)中可以吗?如何?可以在WinDbg中完成吗?

最佳答案

当进程启动时,我将使用GFlags之类的东西来启动调试器。

这是test.exe的示例gflags设置

这是调试器的输出。注意ntdll!LdrpInitializeProcess的调用栈



或者,您可以在调试器中像Windbg一样打开进程,默认情况下该进程会分解为ntdll!LdrpInitializeProcess

高温超导

10-08 08:35
查看更多
Powered by LMLPHP ©2025 ntdll 0.047386