Windows 内核调试器 API？...访问字符串

Question

如何读取通过调用 kdPrint 或 debugPrint 函数生成的 Windows 内核调试器字符串？

特别是在用户模式下阅读，但在内核模式下也很好！

它与 DebugView 的作用相同，但我想过滤并仅处理提供给调试器的某些消息（字符串）。

Answer 1

在用户模式下，您有 DBWIN "API"：

1. 创建一个命名的（“DBWIN_BUFFER”）共享内存区域（4096 字节，第一个 DWORD 是进程 pid）和两个事件
2. 通知 DBWIN_BUFFER_READY 命名事件
3. 等待 DBWIN_DATA_READY 命名事件
4. 读取共享内存（并转到步骤 #2 获取下一个输出）

在 NT6 上的内核模式中，您有 DbgSetDebugPrintCallback

在较旧的东西上，您需要进行某种挂钩（ int 0x2d / DebugService）找到更多帮助的最佳位置可能是 OSR 新闻组。

编辑：在 Vista 及更高版本上，您需要设置 Debug Print Filter 注册表项启用来自 DbgPrint[Ex] 的调试输出消息（对于 KdPrint，您需要内核调试器 IIRC）