代码之家  ›  专栏  ›  技术社区  ›  Jämes

在内核区域中检测进程是否正在调试

driver kernel debugging windows
  •  0
  • Jämes  · 技术社区  · 5 年前

    有没有一种方法可以检测(在内核模式下)调试器(在用户模式下)附加到Windows上的另一个进程(也在用户模式下)?

    EPROCESS 一个结构来显示这些信息。理想情况下,我正在寻找一个不能在用户模式下从程序中更改的标志,尽管如此,我不知道这些信息是否也保留在内核级别。

    0 回复  |  直到 5 年前
        1
  •  1
  •   RbMm    5 年前

    存在(来自xp)未记录的api 

    extern "C"
NTKERNELAPI
BOOLEAN
PsIsProcessBeingDebugged(PEPROCESS Process);

    哪一个 return Process->DebugPort != NULL 非常简单可靠的api,可用于任何irql(因为进程对象在非分页内存中)。

    • 图书馆: NtosKrnl.lib
    • 任何级别
    推荐文章
    Fnr  ·  Linux内核配置官方文档
    7 年前
    Zohar81  ·  在网络上设置双机内核调试
    7 年前
    Chen Li  ·  VDSO(7)和SYSCALL(2)之间的关系是什么?
    7 年前
    Nemo_Sol  ·  编译动态链接的内核
    7 年前
    Jet Blue  ·  如何在QEMU上运行裸机ELF文件?
    7 年前
    bornfree  ·  了解Linux内核中每个条目的hlist_bl_
    7 年前
    Jean-Pierre Coffe  ·  segfault期间是否访问了物理内存的其他部分?
    7 年前
    default_settings  ·  Anaconda更新后Jupyter笔记本死机内核
    7 年前
    rahul  ·  声音驱动程序-AWS EC2 ubuntu 16.04实例的snd aloop内核模块安装问题
    7 年前
    ajxs  ·  裸机Raspberry Pi 2:为QEMU仿真生成SD卡映像
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号