windbg - 如何在 ntdll!KiFastSystemCallRet 禁用中断

Question

如何禁用调试器中断ntdll!KiFastSystemCallRet指令？

例如：

7:022> g
eax=7754dcf9 ebx=006a1be8 ecx=006a0e40 edx=006a0d18 esi=80300002 edi=00000000
eip=77736954 esp=004afe0c ebp=004afe28 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!KiFastSystemCallRet:
77736954 c3              ret

谢谢。

Answer 1

嗯，它出来了，闯入

ntdll!LdrpDoDebuggerBreak+0x2b

是在加载二进制文件时。当您使用 -o 选项调试进程时，您会得到不止一个此类中断，这意味着所有子进程也将附加到调试器。例如：

windbg.exe -o MyExecutable.exe

并闯入

ntdll!KiFastSystemCallRet

是什么时候发生异常，例如：

sxe ld MyBinary.dll

但这可能是多种例外，有关更多信息，请查看sx、sxd、sxe、sxi、sxn、sxr、sx-文档。