挡风日志系统调用

Question

我想记录来自winlogon.exe的所有系统调用。我已经在主机上的WinDbg和虚拟机中的内核调试器之间建立了连接，除了一件事--我不能加载日志扩展，它可以用来记录所有的系统调用。问题是，当我试图加载日志时，会得到一个错误：

> .load logexts
The call to LoadLibrary(logexts) failed with error 2.
Please check your debugger configuration and/or network access

我试着调试notepad.exe，这个扩展运行得很好，所以我认为调试器本身没有问题。我的问题是，我是否可以自己在WinDbg中记录系统调用，而不需要任何额外的库(如logexts )？

Answer 1

Logexts是用户模式的扩展，在内核模式下不工作。来自WinDbg帮助：

激活Logger的一种方法是启动CDB或WinDbg，并像往常一样附加到用户模式目标应用程序。然后，使用.logexts.logi或!logexts.loge扩展命令。

(强调地雷)

..。它在目标Logexts.dll应用程序进程中加载和初始化。

WinDbg的帮助没有提到logexts.dll附近的“内核”。