如果我们将调试器(gdb,ida,olly ......等)附加到正在运行的进程中。 调试器如何暂时挂起进程并设置断点?
另外,当调试器暂停附加的进程时。 调试器在某个库位置中断。(例如在__kernel_vsyscall()中) 但是,该位置不是进程运行时的最后一个EIP位置。 我如何知道最后的实际EIP值?
提前谢谢。
答案 0 :(得分:0)
你进入上部框架(在gdb命令中:up)并在那里打印EIP(在gdb命令中:print $eip)?它必须是上框架的EIP。请记住,在调用函数的指令之后,上框的EIP将指向右侧的指令。
这是你要找的吗?