我在Explorer.exe中看到崩溃,因为我们的安全s / w dll已加载到Explorer.exe中。
崩溃发生在系统关闭期间。 VM连接到内核调试器。发生异常时,我没有看到内核调试器中断。我尝试了所有调试事件过滤器。但我无法成功。
有人可以建议我,为什么我不能在有异常时看到休息。 我想在异常时闯入调试器。 我可以在kernelmode中使用SXE ud“dllName”来通知我何时卸载了perticula dll?
例外是 资源管理器崩溃,“0x6ad88b5处的指令重新启动内存为0x0000000。内存无法读取”
答案 0 :(得分:1)
这应该有效:
现在连接explorer.exe崩溃和内核调试器时,WinDbg应该中断。
答案 1 :(得分:0)
首先,在内核模式下调试时,加载或卸载DLL不会导致中断,但在进行用户模式调试时它们运行良好。
我相信内核模式调试时,你应该能够在加载或卸载.SYS文件这样的内核模式二进制文件时中断。
现在,问你的问题。一种方法可能是,
将Windbg设置为默认的事后调试程序。 windbg.exe -I 的。
这将确保您在发生任何异常时中断调试器。但这将是用户模式调试。
接下来,假设你有一个KD设置,只需执行 .breakin ,就可以将用户模式转换为内核模式调试。
斜体是调试器命令。