Windows 调试集锦 <1>

调试 WinLogon1 WinLogon 是一个用户模式进程,负责处理用户登入登出的交互任务,以及处理 CTRL+ALT+DELTE。要调试 Winlogon 最简单的办法是使用 NTSD 然后通过内核调试器来控制并调试。 首先要解决的是如何将用户态调试器 NTSD 的输出重定向到内核调试器,为此需先配置内核调试连接。详细可以参考[2. Controlling the User-Mode Debugger from the Kernel Debugger[ 其次需要修改注册表,这样 Winlogon 进程一开始启动就可被调试。注册表键值如下: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinLogon.EXE] "Debugger"="ntsd -d -x -g" The -d option passes control to the kernel debugger. The -x option causes the debugger to capture access violations as second-chance exceptions. The […]

