用内核的调试方式去调试虚拟机
!process 0 0 winlogon.exe
.process /p 817152a8 切换进程
.reload /f /user 加载用户态的符号
.reload /f c:\my.dll=8e0000,28000 加载自定义的模块,用于查看内部的数据结构(dt命令)
.process /i /p 817152a8 非入侵式的attach
Bu,bp断点
断到windows api后找到具体变量的栈地址(事情用ida分析),用dt命令查看输入参数的内容