windbg 攻略

windbg 可断在系统函数上 (windows api) 上,查看堆栈数据,然后继续执行。 1. 为函数调用 TRACE 一条信息 bp 0x41414141 “.echo in function x” 2. 输出 API 的参数 bp nt!ZwCreateFile “du poi(poi(esp+10)+0xC);g” bp kernel32!LoadLibraryExA “da poi(e …