Not login
0

[165]  使用nanocode能不能通过dci方式调试windows的r3程序?

asked 2020-07-02 18:49:09 +0800

nj001 gravatar image

nanocode复用的windbg的调试引擎有些命令还是不太完善,我想像windbg那样用内核调试器调试r3程序只不过试了几次都不行,那使用nanocode通过dci方式怎么去调试gdk7上的r3程序呢?我想试一下dci方式的能不能过一些程序的反调试 如果可以的话,能不能举一个具体的例子?

edit retag flag offensive close merge delete
add a comment

2 Answers

Sort by » oldest newest most voted
0

answered 2020-07-05 10:33:01 +0800

gdman gravatar image

updated 2020-07-05 12:12:01 +0800

你需要的是使用内核调试会话来调试应用程序,基本的过程如下(假设你要调试的是a.exe):
1)建立内核调试会话
2)中断下来后!process 0 0 a.exe
3).process /i a.exe的EPROCESS地址
4)g一下,会自动再中断
5).reload /user
6) 根据需要设置断点
7)断点命中后做更多分析

edit flag offensive delete link more
add a comment
0

answered 2022-06-25 16:19:53 +0800

int 2e gravatar image

updated 2022-06-25 16:22:00 +0800

刚才测试了下好像不能停下来了

切换EPROCESS后,按g,并没有停下来。手动中断下来后eprocess依然没有切过去。

使用的是nanocode v1.5.1版本

image description

image description

edit flag offensive delete link more
add a comment
Login/Signup to Answer

Question Tools

1 follower

Stats

Asked: 2020-07-02 18:49:09 +0800

Seen: 63 times

Last updated: Jun 25 '22

Related questions

gdk7能调试r3程序吗?

gdk7怎么调试windows的r3程序

nanocode通过dci方式调试windows的r3程序的后续问题

关闭