Explorer.exe にロードされたセキュリティ ソフトウェア DLL が原因で、Explorer.exe でクラッシュが発生します。
クラッシュは、システムのシャットダウン中に発生します。VM はカーネル デバッガーに接続されます。例外が発生しても、カーネル デバッガーが中断することはありません。すべてのデバッグ イベント フィルタを試しました。しかし、私は成功できませんでした。
誰かが私に提案できますか、例外があるときにブレークが見えないのはなぜですか。 例外が発生したときに、デバッガーに侵入したいと考えています。perticula dll がアンロードされたときに通知するために、kernelmode で SXE ud "dllName" を使用できますか?
例外は、エクスプローラーのクラッシュ、「0x6ad88b5 の命令が 0x0000000 のメモリを参照しました。メモリを読み取れませんでした」
これはうまくいくはずです:
これで、explorer.exe がクラッシュし、カーネル デバッガーが接続されると、WinDbg が壊れるはずです。
まず、カーネル モードでデバッグする場合、DLL のロードまたはアンロードはブレークを引き起こしませんが、ユーザー モード デバッグを行う場合は問題なく機能します。
.SYS ファイルなどのカーネル モード バイナリがロードまたはアンロードされたときに、カーネル モード デバッグを中断できるはずです。
さて、あなたの質問に。1つの方法は、
Windbg をデフォルトの事後分析デバッガーとして設定します。windbg.exe -I. これにより、例外が発生したときにデバッガーを中断することが保証されます。ただし、これはユーザー モードのデバッグになります。
次に、KD セットアップがあるとすれば、 を実行するだけ.breakinで、ユーザー モードからカーネル モードのデバッグに移行します。
斜体はデバッガ コマンドです。