如何调试在启动时启动的进程？

我正在尝试在启动时启动的 Windows 服务中设置断点。由于我犯了一个不幸的错误，该服务迫使机器进入重新启动循环：这意味着我无法达到可以部署修复程序的稳定状态，而且显然我无法尝试调试该服务在更方便的时间。

我可以在内核模式下使用windbg。我非常想在服务达到预期时中断wmain功能，但我对此有疑问。

到目前为止，我发现使用以下命令可以在加载图像时停止：

!gflag +ksl
sxe ld MyServiceExecutable.exe

问题是，一旦它中断，我发现自己处于一个空的过程中，显然无法设置断点。bm MyServiceExecutable!wmain说它找不到符号并且断点将被“推迟”，但实际上从未设置或到达。设置断点KERNEL32!BaseThreadInitThunk似乎在所有正在运行的进程中或多或少地随机工作，到目前为止我没有太多运气让它停止我的服务。

好吧，这可能不是最好的方法，但它确实有效。 MSFT，如果我做了一些愚蠢的事情，请纠正我！

第一部分很好：

kd> !gflag +ksl
    New NtGlobalFlag contents: 0x00440000
        ksl - Enable loading of kernel debugger symbols
        ece - Enable close exception
kd> sxe ld MyServiceExecutable.exe
kd> g

在内核模式下，sxe ld将停止第一次仅加载可执行文件。

当调试器再次停止时，我们就进入了新创建的进程。我们不再需要 gflag：

kd> !gflag -ksl
    New NtGlobalFlag contents: 0x00400000
        ece - Enable close exception

虽然我们需要EPROCESS指针。我们可以得到它.process or !process -1 0，但它已经在$proc伪寄存器：

kd> r $proc
    $proc=0011223344556677
kd> .process
    Implicit process is now 00112233`44556677

从这一点开始，可以设置断点nt符号，所以让我们使用NtMapViewOfSection因为每个加载的 dll 都会调用它。

kd> bp /p @$proc nt!NtMapViewOfSection
kd> g

在下一站应该加载 ntdll（检查kn如果它在堆栈上，.reload /user如果需要的话），这样你就可以设置断点RtlUserThreadStart。另外，我们将覆盖断点 0，因为我们不需要继续中断NtMapViewOfSection不再（这只是一个麻烦）。

kd> bp0 /p @$proc ntdll!RtlUserThreadStart
kd> g

所有符号都应该在第一个用户线程启动时加载，因此您可以随意在任意位置设置断点。

kd> .reload /user
kd> bp /p @$proc MyServiceExecutable!wmain
kd> g