如何在ntdll!KiFastSystemCallRet指令中禁用调试器中断?
E.g:
7:022> g
eax=7754dcf9 ebx=006a1be8 ecx=006a0e40 edx=006a0d18 esi=80300002 edi=00000000
eip=77736954 esp=004afe0c ebp=004afe28 iopl=0 nv up ei pl zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246
ntdll!KiFastSystemCallRet:
77736954 c3 ret
感谢。
答案 0 :(得分:0)
好吧,它突然出现了
ntdll!LdrpDoDebuggerBreak+0x2b
何时加载二进制文件。当您使用-o选项调试进程时,您会遇到多种此类中断,这意味着,所有子进程也将附加到调试器。 E.g:
windbg.exe -o MyExecutable.exe
中断
ntdll!KiFastSystemCallRet
何时出现例外情况,例如:
sxe ld MyBinary.dll
但它可能有多种例外,有关更多信息,请查看sx, sxd, sxe, sxi, sxn, sxr, sx-文档。