我收到了WinDbg日誌和進程監視器日誌。其中一些項目顯示在WinDbg和Process Monitor中,即Module Load事件。我可以跟蹤WinDbg中的註冊表訪問,如Process Monitor嗎?
我想我也可以跟蹤線程退出事件,如果我使用sxe -c ".echo Thread Exit;g" et或類似的東西。但是,我想不出一個簡單的解決方案來跟蹤註冊表訪問和文件加載事件。
有沒有辦法跟蹤WinDbg中的註冊表調用,像Process Monitor一樣?
最好它會跟蹤所有的ETW調用,所以我也有我的WinDbg日誌中的文件訪問。
我只能想到塞汀斷點上Registry Functions爲:
bu ADVAPI32!RegQueryValueExW ".echo RegQueryValueExW; g;"
bu ADVAPI32!RegQueryValueExA ".echo RegQueryValueExA; g;"
斷點命令字符串回聲破發點名稱,然後繼續運行程序。
看到 http://blogs.msdn.com/b/debuggingtoolbox/archive/2007/04/14/windbg-script-tracing-api-calls.aspx
不幸logexts有一些錯誤,不會在某些操作系統可能工作(也許你會需要關閉DEP)
好的方法,但似乎陷入了GetLastError/SetLastError的無限循環。也許我可以稍微調整一下,不輸出所有內容。 –
是的,這是我寫的這個問題。 –
是,一些'du'或'da'會可以打印註冊表項名稱 –
在32位上,處理poi(@ esp + 4)4; du poi(@ esp + 8); g「'和'bu ADVAPI32!RegQueryValueExA」!處理poi(@ esp + 4)4; da poi(@ esp + 8); g「'很好用 –