我正在尝试记录对第三方进程的ntdll!NtAllocateVirtualMemory的所有调用,以生成包含所有参数(也是OUT参数)和调用堆栈的日志文件。
我尝试过使用WinDbg这个断点:
bp ntdll!ntallocatevirtualmemory“r $ t1 = poi(poi(@ esp + 8)); r $ t2 = POI(POI(@ ESP + 10H)); r $ t3 = poi(@ esp + 14h); r $ t4 = poi(@ esp + 18h); [R $ t7 = poi(esp); g @ $ t7; r $ t5 = @eax; r $ t6 = poi(poi(@ esp-14h)); .printf / D \“问:0x%。8X大小:0x%。8X AllocType:0x%。8X保护: 0x%.8X结果:0x%.8X得到:0x%。8X \ n \“,@ $ t1,@ $ t2,@ $ t3,@ $ t4,@ $ t5, @ $ T6; kcL10; GC“
哪个好,但导致WinDbg挂起并停止响应。
是否有一种正确的方法可以使WinDbg使用? 是否有另一种工具可以提供可靠的堆栈展开和日志API调用?
由于