windbg内核环境切换到用户环境.docVIP

今天遇到个问题，想从内核模式对用户模式的ntdll下断点，可是对于我这样的菜鸟，貌似事件不容易的事，于是翻了很多资料，但是最终还是不解，在驱网群中询问了下，一个好心人找了个连接给我，后来才看懂了，同时转载过来： 使用内核调试会话也可以执行一些用户态调试任务，比如向位于用户态的模块设置断点。但这样做与使用用户态调试器有什么不同呢？我们就以向NTDLL.dll模块的ZwTerminateProcess函数（Stub）为例谈谈二者的区别。 区别一、在内核调试会话中设置这个断点的“难度”略大些。这是因为NTDLL不属于内核态的模块，所以内核会话通常不会加载这个模块（的符号），因此当执行bp命令时很可能被自动蜕化为bu命令。 0: kd bp ntdll!ZwTerminateProcessBp expression ntdll!ZwTerminateProcess could not be resolved, adding deferred bp 恢复执行后，一般的操作也不会触发调试器来加载NTDLL模块和解决这个未决的断点。因此再中断下来，重新加载符号也可能没有用： 2: kd .reloadConnected to Windows Vista 6000 x86 compatible target, ptr64 FALSELoading Kernel Symbols.............................................................................................................................Loading User Symbols Loading unloaded module list........2: kd bl0 eu???????????? 0001 (0001) (ntdll!ZwTerminateProcess) 使用.reload命令强制加载这个模块也不那么容易： 0: kd .reload /s /f ntdll.dll ntdll.dll was not found in the image list.Debugger will attempt to load ntdll.dll at given base Please provide the full image name, including the extension (i.e. kernel32.dll)for more reliable results.Base address and size overrides can be given as.reload image.ext=base,size.Unable to add module at那么该如何设置呢？方法一需要以下几步： 1.A 使用!process命令显示当前进程： kd !processPROCESS 80af22a0 SessionId: none Cid: 0000??? Peb:ParentCid: 0000??? DirBase:ObjectTable: e1001e38 HandleCount: 240.??? Image: Idle 如果像上面这样是IDLE进程或者是System这些没有用户态的进程，那么就需要执行下面一步，否则跳到1.C。 1.B 使用!process 0 0命令列出所有进程，然后选一个普通的Windows进程，并切换到这个进程： kd !process 0 0 **** NT ACTIVE PROCESS DUMP **** ...PROCESSSessionId: 0 Cid: 0110??? Peb: 7ffde000 ParentCid: 059c??? DirBase:ObjectTable: e1a55640 HandleCount: 72.??? Image: notepad.exe kd .PROCESSImplicit process is nowWARNING: .cache forcedecodeuser is not enabled 1.C 执行.reload或.reload /user重新加载符号： kd .reloadConnected to Windows XP 2600 x86 compatible target, ptr64 FALSELoading Kernel Symbols............