5、深入探索Windows调试高级技巧

深入探索Windows调试高级技巧

在熟悉了Windows调试器的基本类型和系统基础后，是时候深入了解一些高级功能和策略了，这些对于成功进行调试调查至关重要。以下将详细介绍非侵入式调试、数据断点、调试器脚本编写、WOW64调试以及Windows调试钩子（GFLAGS）等内容。

非侵入式调试

非侵入式调试允许你在不将调试器完全附加到目标进程的情况下，检查其内存快照。WinDbg支持这一便捷功能，当已有其他调试器（如Microsoft Visual Studio调试器）正在对目标进行调试时，该功能非常有用。你可以以非侵入式模式附加WinDbg实例，利用其强大的调试环境检查进程虚拟内存的快照。完成观察后，可使用 qd 命令脱离调试，让目标进程恢复运行。

非侵入式调试的工作原理是，调试器不会接收目标进程的任何调试事件，因此无法对其进行控制。它只是暂停目标中的线程，并执行你输入的静态调试命令，使你能够检查和修改目标进程的虚拟地址空间。支持的命令包括栈回溯（ k* 命令）、检查寄存器和内存值（ dd 、 db 等）以及修改进程内存（ ed 、 eb 等），还可以使用 .dump 命令生成内存转储以供后续分析。

启动非侵入式调试会话有两种方式：
1. 使用 windbg.exe 用户界面（UI）中的 Attach To Process 菜单操作（快捷键 F6 ），并在