前面我们讲到了如何使用Windbg调试禁止使用调试器的程序,但是如果该程序并不是每次都会发生异常,而我们又想抓取异常的第一现场,每次启动程序的时候都输入命令太麻烦了,本文主要讲述如何自动处理这个问题。
1. 使用IFEO自动加载调试器
2. 调试器加载时自动执行命令,修改peb+2的内存标志
我们的目标是想在启动时自动执行一些命令,修改内存值,使程序可以继续调试,因此修改注册表中Debugger的内容,是Windbg带上命令参数:
"D:/Program Files/Debugging Tools for Windows (x86)/windbg.exe" -c "~0s;eb poi(fs:18:30)+2 0; g"
3. 程序运行,Crash的第一现场可以被Windbg抓获了