平台:
host: Win10 1903
guest: Win7 x64 sp1
工具:
WinDbg,IDA 6.8
VMware 15.5.1(VirtualKD不支持最新版本),建议使用低版本。
需要调试的驱动HelloWorld.sys
必备基础:
理解WinDbg双机调试搭建的过程
步骤:
1.启动Win7 虚拟机
2.修改IDA的ida.cfg配置文件
IDA的cfg目录下的DBGTOOLS
注意这里WinDbg所在文件目录选择x86的,因为IDA7.0 以后的IDA才是64bit的,以前的两个都是32bit的程序
3 IDA载入预调试的驱动
配置IDA的调试器为windbg
配置调试器选项为内核调试模式
配置进程选项连接字符串为 com:port=\\.\pipe\kd_VMWIN7SP1,baud=115200,pipe
附加到操作系统
这里刷新模块清单是IDA特别卡,会显示无响应等,原因还不知道是为什么。????但是耐心等待一下,约几分钟,就好了(如图1.1)
图1.1
4.调试驱动
IDA里去DriverEntry下断,按下F9,运行虚拟机。进入虚拟机加载驱动就可以被断下来了。断下来的过程也有点卡,不过已经成功了!
这个双机调试搭建过程中出现了两个问题,搞了半天,特此记录。
1.IDA 弹窗显示 “Could not initialize WinDbg Engine”, 同时控制台输出“using debugging tools from ‘'”
2.IDA弹窗显示字符串 “%1 is not a valid win32 application”
这两个问题在于DBGTOOLS配置WinDbg路径出错,和32bit IDA的坑,IDA 7.0已经能识别出WDK安装的调试器 WinDbg了。
来源:http://www.12558.net
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |