自己想要研究研究Win10
的系统调用流程,我使用如下指令下断点:
kd> bp nt!KiSystemCall64Shadow
然后放行的时候,系统立刻发生双重错误,导致无法调试:
kd> g
KDTARGET: Refreshing KD connection
*** Fatal System Error: 0x0000007f
(0x0000000000000008,0xFFFFF80758CB1E50,0x000000DB41477000,0xFFFFF80752FCEFC0)
Break instruction exception - code 80000003 (first chance)
A fatal system error has occurred.
Debugger entered on first try; Bugcheck callbacks have not been invoked.
A fatal system error has occurred.
nt!DbgBreakPointWithStatus:
fffff807`52fc90b0 cc int 3
kd> g
Break instruction exception - code 80000003 (first chance)
A fatal system error has occurred.
nt!DbgBreakPointWithStatus:
fffff807`52fc90b0 cc int 3
kd> k
# Child-SP RetAddr Call Site
00 fffff807`58cb1568 fffff807`530a9422 nt!DbgBreakPointWithStatus
01 fffff807`58cb1570 fffff807`530a8f72 nt!KiBugCheckDebugBreak+0x12
02 fffff807`58cb15d0 fffff807`52fc1327 nt!KeBugCheck2+0xdb2
03 fffff807`58cb1cd0 fffff807`52fd30e9 nt!KeBugCheckEx+0x107
04 fffff807`58cb1d10 fffff807`52fcdf45 nt!KiBugCheckDispatch+0x69
05 fffff807`58cb1e50 fffff807`52fcefc0 nt!KiDoubleFaultAbort+0x2c5
06 000000db`41477000 fffff807`52fcefc0 nt!KiPageFault
07 000000db`41477030 fffff807`52fcefc0 nt!KiPageFault
……(后面都是大量的 nt!KiPageFault)
我使用 Windbg 下硬件断点也是如此,不明白为什么会这样,这样搞咋研究啊,总不能纯静态分析吧。
大佬现在都这么硬了吗?
我刚从32位信心满满的出来,被64位的没见过的新机制暴打。🤡
这100个豆子拿着,去拿着好好去问问题吧。
@寂静的羽夏: 你写成系列文章,到时候我用到了的话找你
@echo_lovely: 没详细研究,时间也不算太充裕了,差不多 Win 就写这些了,我转到 Linux 上去了。
最近没时间研究,有可能是页表机制隔离问题。