我使用臭名昭着的Blackbone庫將另一個模塊映射/注入不同的進程並執行其代碼。使用Visual Studio在內存組件中調試
通常要調試注入的模塊,我必須將windbg的調試器附加到被劫持的進程中,相應地使用.imgscan命令和加載符號掃描加載的模塊。
我想知道這樣的事情是否可以使用良好的舊視覺工作室。 在VS中有一個選項,符號選項卡,用於加載所有已加載模塊的所有符號,但這不會達到與.imgscan/l確實相同的效果。 所以我最終只有一個未解決的調用堆棧(只有內存地址)和反彙編。
自從你問Setting up visual studio c++ debugger to support symbols for modules loaded from memory以來,我懷疑有什麼變化。答案仍然是:
WinDbg是一個低級別的調試器,可以讓您這麼做。 Visual Studio調試器是一個不太低級別的調試器,不能這樣做。
Blackbone故意及惡意移走從PEB加載的模塊列表的模塊(參見BBUnlinkFromLoader),如果它甚至困擾加載它們在更多或更少的合理的方式。你想從模塊列表中隱藏一個模塊? VS說:「很好。」
如果它對你很重要,你可以嘗試從Visual Studio GUI使用WinDbg調試器,但它仍然是WinDbg的所有優點和缺點。 (需要安裝WDK,我想。)
@HansPassant:不與注入模塊...請參閱https://social.msdn.microsoft.com/Forums/vstudio/en-US/7ea7dd27-fe9e-4118- 988d-567f1dd452ba /如何調試注入遠程線程與符號不是一個dll只是一個線程forum = windbg等 – conio
但該DLL不在模塊窗口列表中,所以它是有點難以右鍵點擊它。 – conio