1.因為核心除錯涉及到的是windows系統,所以只能在windows上執行,首先安裝xp虛擬機器;
2.然後配置boot.ini檔案,由於boot.ini檔案在xp系統中是被隱藏的,所以需要先取消xp的隱藏資料夾選項,具體步驟:
1)開啟的「我的電腦選項」->選擇「工具」中的「資料夾選項」
2)開啟之後選擇「檢視」,勾選「顯示所有檔案和資料夾」
之後就可以在c盤根目錄下找到boot.ini檔案,或者直接在執行中輸入c:\boot.ini直接開啟檔案:
3.在對boot.ini檔案進行修改之前,最好先做好系統快照,以防等下系統無法啟動。開啟檔案進行修改:
4.設定vmware,在虛擬機器操系統和宿主作業系統之間建立乙個虛擬連線,為此,我們在vmware上新增乙個新的裝置來使用宿主系統中的乙個命名管道上的串列埠,以下是新增裝置的步驟:
1)單擊vm->settings,然後會彈出vmware設定對話方塊;
5.完成虛擬機器的配置後啟動虛擬機器,在宿主作業系統中,使用下列步驟使windbg連線虛擬機器並開始核心除錯
1)啟動windbg,選擇file->kernel debug ,單擊com標籤,然後輸入檔名和先前在boot.ini檔案中設定的波特率,本例設定115200,單擊ok按鈕前確認選中了pipe核取方塊,設定如下:
2)這個時候開啟虛擬機器,進入如下介面進行選擇:
接下來一直出現這個問題,嘗試很多辦法都無法解決:
暫時寫到這裡,明天繼續
繼續更新,嘗試了很多方法之後,今天就又莫名其妙的連線上了,最主要的問題就是虛擬機器中新建的命名管道是管道2,所以在修改boot.ini檔案的時候需要將原先的com1改為com2(網上有這個方法的詳細說明,所以不再贅述),連線成功之後結果如下:
由於這裡連線情況顯示的不是很全,所以使用詳細的來講解
準備好偵錯程式之後,開始準備執行這個病毒,
使用WinDbg核心除錯
看雪學院,笨笨翻譯 使用windbg核心除錯 很有用的資料,由於太長,加上很多,偷懶,留個鏈結在這裡。這裡簡要做一些我測試時候的筆記 首先你要配置好測試環境 參考vmware windgb win7 核心驅動除錯 在你的主機上配置symbols 接著檢查是否已經載入sys.dbg,命令為 kd lm...
Windbg除錯核心驅動方法
一般說來,調速驅動程式分為兩種 1.存在pdb檔案的除錯 這裡的pdb檔案其實就是除錯符號檔案,假如我們除錯的這樣的檔案,我們可以再windbg中使用 bp 驅動名 driverentry,這個時候當載入驅動的時候,程式就會斷在入口了。2.沒有pdb檔案的除錯 在除錯別人的驅動程式時,也就是自己只有...
Windbg除錯核心驅動方法1
一般說來,調速驅動程式分為兩種 1.存在pdb檔案的除錯 這裡的pdb檔案其實就是除錯符號檔案,假如我們除錯的這樣的檔案,我們可以再windbg中使用 bp 驅動名 driverentry,這個時候當載入驅動的時候,程式就會斷在入口了。2.沒有pdb檔案的除錯 在除錯別人的驅動程式時,也就是自己只有...