如何在ntdll中禁用中断！KiFastSystemCallRet

Question

如何在ntdll!KiFastSystemCallRet指令中禁用调试器中断？

例如：

7:022> g
eax=7754dcf9 ebx=006a1be8 ecx=006a0e40 edx=006a0d18 esi=80300002 edi=00000000
eip=77736954 esp=004afe0c ebp=004afe28 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!KiFastSystemCallRet:
77736954 c3              ret

谢谢。

Answer 1

好吧，结果是它闯入了

ntdll!LdrpDoDebuggerBreak+0x2b

是加载二进制文件的时间。当您使用-o选项调试进程时，您会得到多个此类中断，这意味着所有子进程也将附加到调试器。例如：

windbg.exe -o MyExecutable.exe

破门而入

ntdll!KiFastSystemCallRet

是发生exeptions时，例如：

sxe ld MyBinary.dll

但它可能是许多种例外，有关更多信息，请参阅sx, sxd, sxe, sxi, sxn, sxr, sx-文档。