如何调试在启动时启动的进程？

Question

我正在尝试在启动时启动的 Windows 服务中设置断点。由于我的不幸错误，该服务强制机器进入重新启动循环：这意味着我无法进入可以部署修复程序的稳定状态，显然我无法尝试调试服务在更方便的时间。

我可以在内核模式下使用windbg。当服务达到wmain 函数时，我非常想中断，但我遇到了问题。

到目前为止，我发现使用以下命令可以在加载图像时停止：

!gflag +ksl
sxe ld MyServiceExecutable.exe

问题是一旦中断，我发现自己处于一个空进程中，显然我无法在其中设置断点。 bm MyServiceExecutable!wmain 说它找不到符号并且断点将被“延迟”，但实际上它从未设置或到达。在KERNEL32!BaseThreadInitThunk 上设置断点似乎在所有正在运行的进程中或多或少地随机工作，到目前为止我没有太多运气停止我的服务。

Answer 1

好的，这可能不是最好的方法，但它确实有效。 MSFT，如果我在做一些愚蠢的事情，请纠正我！

第一部分很好：

kd> !gflag +ksl
    New NtGlobalFlag contents: 0x00440000
        ksl - Enable loading of kernel debugger symbols
        ece - Enable close exception
kd> sxe ld MyServiceExecutable.exe
kd> g

在内核模式下，sxe ld 将仅在第一次加载可执行文件时停止。

当调试器再次停止时，我们处于新创建的进程中。我们不再需要 gflag：

kd> !gflag -ksl
    New NtGlobalFlag contents: 0x00400000
        ece - Enable close exception

虽然我们需要EPROCESS 指针。我们可以通过.process 或!process -1 0 得到它，但它已经在$proc 伪寄存器中：

kd> r $proc
    $proc=0011223344556677
kd> .process
    Implicit process is now 00112233`44556677

从这一点开始，可以在nt 符号上设置断点，所以让我们使用NtMapViewOfSection，因为它会为每个加载的 dll 调用。

kd> bp /p @$proc nt!NtMapViewOfSection
kd> g

应该在下一站加载ntdll（如果它在堆栈上，请检查kn，如果需要，请.reload /user），因此您可以在RtlUserThreadStart上设置断点。此外，我们正在覆盖断点 0，因为我们不再需要在 NtMapViewOfSection 上中断（这会很麻烦）。

kd> bp0 /p @$proc ntdll!RtlUserThreadStart
kd> g

在第一个用户线程启动时，所有符号都应该已加载，因此您可以随意设置断点。

kd> .reload /user
kd> bp /p @$proc MyServiceExecutable!wmain
kd> g

Answer 2

使用 MS 描述的调试 winlogon 的技术，该技术涉及串联使用内核模式和用户模式调试器。请参阅“Windows 调试工具”下载附带的 debugger.chm 文件中的“调试 WinLogon”。