我想记录来自winlogon.exe的所有系统调用。我已经在主机上的WinDbg和虚拟机中的内核调试器之间建立了连接,并且每件事都很完美,除了一件事 - 我无法加载logexts扩展,它可用于记录所有系统调用。问题是当我试图加载logexts时,我收到一个错误:
> .load logexts
The call to LoadLibrary(logexts) failed with error 2.
Please check your debugger configuration and/or network access
我尝试调试notepad.exe,这个扩展工作得很好,所以我觉得问题不在调试器本身。我的问题是我可以自己在WinDbg中记录系统调用,而不需要任何其他库,例如logexts吗?
答案 0 :(得分:2)
Logexts是用户模式的扩展,在内核模式下不起作用。来自WinDbg帮助:
激活Logger的一种方法是启动CDB或WinDbg并像往常一样连接到用户模式目标应用程序。然后,使用!logexts.logi或!logexts.loge扩展命令。
(强调我的)以及
[...]在目标申请流程中加载并初始化Logexts.dll。
WinDbg的帮助没有在logexts.dll附近的任何地方提及“内核”。