WinDbg Tips: Automatically Break into the Target Computer

適用時機

  • 進行非常早期的 kernel debugging ,希望在 kernel 完成初始化後,立即中斷。
  • 追蹤 boot process 、kernel loader 、休眠啟動(resume from hibernation)。透過適當 BCDEdit 設定,也可用來 debug BootMgr, Winload.exe, WinResume.exe 等程式

說明

在 WinDbg 裡頭又稱作:Change Post-Reboot Break State 。目前共有三種模式可供切換:

No break
除非使用者按下 CTRL+Break 手動觸發一個 break event ,否則不會中斷 target 的運作。預設模式。
Break on reboot
當 target 上的 kernel 完成初始化後,立即中斷。 Break on first module load
當 target 上的 kernel 完成第一個 module 的載入,立即中斷。

語法

CTRL+ALT+K

範例

automatic break

應用

透過 BCDEdit 開啟 boot manager 的 debug :

bcdedit /set {bootmgr} bootdebug on

接著,在 WinDbg 中設定 Break on reboot ,重開機後,我們就可以看到 WinDbg 停在 bootmgr 上了。

bootmgr

感謝

會有這篇文章,是因為上了張銀奎老師的課,張銀奎老師不用多做介紹,他是软件调试[2]的作者,也常在高端调试[3]出沒(應該也是該網站的建立者?!),三天的課程非常精實,把 Windows Internals 用 WinDbg 方式再講一次,受益匪淺 :)

Reference

  1. CTRL+K (Change Post-Reboot Break State) (Windows Debuggers): http://msdn.microsoft.com/zh-tw/library/windows/hardware/ff540326%28v=vs.85%29.aspx
  2. 软件调试:http://advdbg.org/books/swdbg/
  3. 高端调试:http://advdbg.org/
標籤: , , ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)

MiniFilter InstanceSetupCallback is not called?

一般來說,MiniFilter 的 InstanceSetupCallback 會在 filter manager 把 minifilter attache 到 volume 後呼叫。如果沒有的話,可以檢查一下 minifilter 的 INF 是否把 instance fla...

  • 什麼是 Arity
    記得以前在研究 Boost.function 的實做時,遇到一個有趣的 static class member ,名叫 arity 。由於沒看過這個單字,譯典通也找不到這個字,只好先猜猜它的意思!後來透過 Google 才知道這個字的意思是:一個函式的參數個數;wiki 的解釋更...
  • WinDbg 實驗: Command Line Arguments 的傳遞
    一個 C/C++ 程式可以透過 main() 的 argument list 取得 client 端輸入的 command line arguments: int main( int argc, char* argv[] ) { ... } 如果好奇這是如何地 從無到有 ...
  • VMware 64-bit Guest OS Support
    去年聖誕節買的 x201 ,下單前還特別注意 CPU 是否支援 Virtualization ,直到上個月拿來跑 64 bit guest OS 時,才發現 Windows 會進入開機、當機的無窮迴圈。後來才發現一些小眉角,尤其是在筆電上: 不是 64-bit OS 就...