雙機聯調時,不僅可以調試內核層,也可以調試應用層。
被調試的系統:XP系統,因此沒有session會話需要切換。
1 使用 !process 0 0 獲取用戶空間的所有的進程的信息,然後找到你需要調試的exe進程的地址。
如果獲取失敗或者提示出錯,那麼先輸入 .reload 命令(注意有 . 號)重新載入符號。
2 比如要調試 explorer.exe,那邊拷貝該進程的peb地址爲 0x82119da0 。
3 輸入命令 .process /p + 你需要斷的應用程序的EProcess地址(如下 .process /p 0x82119da0 ),切換到應用程序的地址空間。
4 輸入命令 .reload /f /user 重新加載user PDB文件。
5 輸入命令 .process /i /p 0x82119da0 ,使用非侵入式的切換進程空間。
6 輸入命令 g 運行系統。然後再按 ctrl+break 中斷被調試系統,通過bu 或者 bp 命令設置斷點即可。
7 執行了以上6步,如果斷點無法命中,可以保存先WinDbg的workspace,然後重啓被調試機器。再次執行1-5步,則相關的斷點應該就可以命中了。