内核调试相关变量说明

KdInitSystem

函数让内核调试引擎初始化

KiDebugRoutine

当系统分发异常时会调用KiDebugRoutine变量所指向的函数 KiDebugRoutine写入函数地址KdpStub(禁止调试) /KdpTrap(开启调试)

KeUpdateRunTime

系统的时间更新函数

KdCheckForDebugBreak

检查调试器是否发出了中断命令

KdpBreakpointTable

内核调试引擎使用一个数组来记录断点

KdEnterDebugger

将系统内核中断到调试器

KdExitDebugger

从调试器回到系统内核

KdEnableDebugger

启用内核调试器

KdDisableDebugger

禁用内核调试器

KdChangeOption

访问和修改内核中与内核调试器有关的状态。

KdReportTraceData

与ETW机制配合将追踪数据通过内核调试通信输出到调试器所在的主机上

KdSendPacket

KDCOM函数，发送数据包

KdReceivePacket

KDCOM函数，接收数据包

KeNumberProcessors

全局变量，标记CPU个数

KiSystemStartup

Ntoskrnl.exe的入口函数，调用KiSystemStartup

KiSystemStartup

KiSystemStartup为每个CPU调用HalInitializeProcessor和KiInitializeKernel

KiInitializeKernel

本函数在系统刚刚被启动而没有被完全初始化前被调用，它将初始化系统数据结构（KiInitSystem），初始化idle线程和进程结构体（KeInitializeThread），初始化CPU控制块（KeInitializeProcess），调用ExpInitializeExecute函数，开始阶段0的进一步初始化工作。本函数在系统发现新的CPU时也将被调用。

VOID

KiInitializeKernel (

IN PKPROCESS Process,

IN PKTHREAD Thread,

IN PVOID IdleStack,

IN PKPRCB Prcb,

IN CCHAR Number,

PLOADER_PARAMETER_BLOCK LoaderBlock

)

ExpInitializeExecute

本函数在主引导CPU上执行HalInitSystem（HalInitSystem为每个CPU准备中断控制器，并配置系统时钟中断，用于CPU的计时工作）。然后启动系统中断，接下来的函数调用顺序如下

CmpInitSystemVersion->ExInitSystem->KeNumaInitialize->DbgLoadImageSymbols->CmpInitSystemVersion->

ExInitializeHandleTablePackage->ObInitSystem->SeInitSystem->PsInitSystem->PpInitSystem->DbgkInitialize

PsActiveProcessHead

全局变量，指向系统中的所有进程结构链表

SMSS.EXE

会话管理器进程。创建windows子系统和登录进程WinLogon.EXE。

WinLogon.EXE

创建LSASS本地安全子系统和系统服务进程Services.EXE

KdpDebuggerDataListHead

全局变量，调试器数据链表

KdDebuggerDataBlock

数据结构，该结构包含了内核基地址、模块链表指针、调试器数据链表指针等重要数据，调试器需要读取这些信息以了解目标系统

KdComPortInUse

全局变量，HAL模块中所定义的全局变量，记录下已被内核调试使用的COM端口

KdPitchDebugger

KdDebuggerEnabled

全局变量，用来标识内核调试是否被启用

开启调试状态:*(PBYTE)KdDebuggerEnabled=0x01;

禁止调试状态:*(PBYTE)KdDebuggerEnabled=0x00;

KiDebugRoutine

函数指针，内核调试引擎的异常处理回调函数指针。当内核调试引擎活动时，它指向KdpTrap函数，否则指向KdpStub函数

KdpBreakpointTable

结构数组类型，用来记录代码断点，每个元素为一个BREAKPOINT_ENTRY结构，用来描述一个断点，包括断点地址。