win7 64系统,怎么对抗vm debug port 8700port检测
点击联系发帖人
时间:2016-06-24 12:14
Win7x64系统过TP的一些尝试和目前遇到的问题
直接STATUS_SUCCESS然后返回,不让它做其他处理,但是毫无效果,还是下不了断点,不知道是怎么回事&&
后来想了个办法,直接修改KeUpdateSystemTime()里面检测的地方,和上面一样,让它检测其它地址&&
要改的地方有3处,我只贴了一处的代码。这样就能下各种断点了。
2、双机调试之后就是用户态调试了
x64系统上TP目前做的保护还不是特别多,这也是我选x64入手的原因之一
TP修改了DebugObject中ValIDAccessMask一项,这个就是调试权限,代码中我们恢复下就可以了。
windbg下输入以下命令就可以定位到ValidAccessMask,下硬件断点就能找到ValidAccessMask清零的地方。
至于如何在自己的代码中定位这个变量,我是通过SSDT表查找NtCreateDebugObject这个内核函数地址,里面定位DbgkDebugObjectType
再根据下面的结构体加几个偏移地址(+0x040 +&0x01c)来找到ValidAccessMask。应该有更好的定位方法&&
ValidAccessMask地址写入它原来的值
2、自己代码内利用调试寄存器下硬件断点,然后hook IDT 1号中断服务子程,在里面恢复ValidAccessMask
3、自己代码内利用调试寄存器下硬件断点,定位到上面的清零代码,nop之(我在windbg里直接nop掉是可以的,没有模块自校验)
目前我尝试了第一种方法,开了个IoTimer,虽说1s一次会造成一些概率问题,但测试而已,简单粗暴就好。
&&&&[3]&&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱,我们会在最短的时间内进行处理。
上一篇:【】【】在win7 64位操作系统下运行debug软件的方法-电脑教程-就爱阅读网
您还可以使用以下方式登录
当前位置:&>&&>& > 在win7 64位操作系统下运行debug软件的方法
在win7 64位操作系统下运行debug软件的方法
& 在win7 64位操作系统下运行debug软件的方法& & & & 具体方法如下: 1、我们网上去下载debug.exe,这里我把debug放在了c盘根目录下; 2、 接下来,我们需要下载很重要的一个软件叫DosBox,我已经下载好,并打开它; 3、输入mount c c:\ 加载目录到c盘; 4、输入c:\ 进入到c盘,看到我们已经在c盘下了; 5、 输入debug,表示打开放在c盘下的debug工具,使用r命令,可以看到,我们进入了熟悉的debug环境。
您可能也喜欢这些【原创】win7X64DBGPORT移位数据 - 看雪安全论坛
『软件调试逆向』 [综合性论坛]本版讨论的主题包括:调试逆向、系统底层、商业保护、虚拟机保护、.NET平台等安全相关的话题。
注册日期: Nov 2014
现金: 100 Kx
获感谢文章数:11获会员感谢数:20
, 14:51:37
【原创】win7X64DBGPORT移位数据
自建调试系统写完了&&&这个就丢了
直接运行:&DbgkCopyProcessDebugPort&两处&[+0x20]&[0x40]&
ew&DbgkCopyProcessDebugPort+0x20&0x170
ew&DbgkCopyProcessDebugPort+0x40&0x170
DbgkpSetProcessDebugObject&[+0xB5]&四处&&[0xCA]&[0xF2]&[0x1EB]&四处&&
ew&DbgkCopyProcessDebugPort+0x20&0x170
ew&DbgkCopyProcessDebugPort+0x40&0x170
ew&DbgkpSetProcessDebugObject+0xB5&0x170
ew&DbgkpSetProcessDebugObject+0xCA&0x170
ew&DbgkpSetProcessDebugObject+0xF2&&0x170
ew&DbgkpSetProcessDebugObject+0x1EB&0x170
ew&DbgkForwardException+0x69&0x170
ew&PspExitThread+0x15A&0x170
ew&DbgkpMarkProcessPeb+0x9e&0x170
ew&&DbgkCreateThread+0x54&0x170
ew&&DbgkCreateThread+0x68&0x170
ew&&DbgkpQueueMessage+0xe6&0x170
ew&KiDispatchException+0x23C&0x170
ew&DbgkExitThread+0x2D&0x170
ew&PspProcessDelete+0xE3&0x170
ew&PspTerminateAllThreads+0x13b&0x170
ew&DbgkExitProcess+0x2A&0x170
&ew&DbgkClearProcessDebugObject+0x60&0x170
&ew&DbgkClearProcessDebugObject+0x76&0x170
ew&&DbgkUnMapViewOfSection+0x31&0x170
ew&&DbgkMapViewOfSection&+0x44&0x170
ew&DbgkpCloseObject&+0xD9&&0x170&
ew&DbgkpCloseObject&+0x12B&&0x170&
ew&DbgkpCloseObject&+0x122&0x170&
ew&&DbgkOpenProcessDebugPort&+0x1B&0x170
ew&&DbgkOpenProcessDebugPort&+0x76&0x170
DbgkOpenProcessDebugPort&[0x1B]&[0x76]
ew&&DbgkOpenProcessDebugPort&+0x1B&0x170
ew&&DbgkOpenProcessDebugPort&+0x76&0x170
DbgkpCloseObject&[0xD9]&[0x12B]&[0x122]
ew&DbgkpCloseObject&+0xD9&&0x170&
ew&DbgkpCloseObject&+0x12B&&0x170&
ew&DbgkpCloseObject&+0x122&0x170&
DbgkUnMapViewOfSection&[0x31]
ew&&DbgkUnMapViewOfSection+0x31&0x170
DbgkMapViewOfSection&[0x44]
ew&&DbgkMapViewOfSection&+0x44&0x170
DbgkClearProcessDebugObject&[0x60]&[0x76]
&ew&DbgkClearProcessDebugObject+0x60&0x170
&ew&DbgkClearProcessDebugObject+0x76&0x170
DbgkpMarkProcessPeb&[+0x9E]&一处&这里可写可不写
ew&DbgkpMarkProcessPeb+0x9e&0x170
DbgkCreateThread&[0x54]&[0x68]
ew&&DbgkCreateThread+0x54&0x170
ew&&DbgkCreateThread+0x68&0x170
DbgkpQueueMessage&[0x88]&[0xE6]&
ew&&DbgkpQueueMessage+0x89&0x170
ew&&DbgkpQueueMessage+0xe6&0x170
KiDispatchException&[0x23C]
ew&KiDispatchException+0x23C&0x170
DbgkForwardException&[0x69]
ew&DbgkForwardException+0x69&0x170
PspExitThread[0x15A]
ew&PspExitThread+0x15A&0x170
DbgkExitThread[0x2D]
ew&DbgkExitThread+0x2D&0x170
PspTerminateAllThreads[0x13B]
ew&PspTerminateAllThreads+0x13b&0x170
DbgkExitProcess&&&&&[0x2A]
ew&DbgkExitProcess+0x2A&0x170
PspProcessDelete&[0xE3]
ew&PspProcessDelete+0xE3&0x170
ntoskrnl+4055E0;dbgport
符号文件关闭回调&PspNotifyEnableMask
被 落笔飞花 最后编辑
注册日期: Mar 2011
现金: 49 Kx
获感谢文章数:1获会员感谢数:1
, 00:04:17
虽然没看懂,还是谢谢分享
注册日期: Mar 2011
现金: 49 Kx
获感谢文章数:1获会员感谢数:1
, 08:15:19
怎么自建求指导
您不可以发表主题
您不可以回复帖子
您不可以上传附件
您不可以编辑自己的帖子
论坛论坛启用
用户控制面板
会员在线状态
『看雪众测/众包』
『Android 安全』
『Android 开发』
『iOS安全』
『求助问答』
『经典问答』
『资料导航』
『软件调试逆向』
『密码学』
『编程技术』
『C32Asm』
『MDebug』
『安全工具开发』
『加壳与脱壳』
『CrackMe&ReverseMe』
『资源下载』
『WEB安全』
『漏洞分析』
『外文翻译』
『招聘专区』
『职业生涯』
『15PB培训』
『麦洛克菲培训』
『茶余饭后』
『安全资讯』
『论坛活动』
6)PEDIY Crackme竞赛2009
7)看雪十周年专版
8)腾讯公司2010软件安全竞赛
9)2011 Exploit Me竞赛
『图书项目版』
《加密与解密(第三版)》
《C++反汇编与逆向分析技术揭秘》
《Android软件安全与逆向分析》
『论坛版务』
所有时间均为北京时间, 现在的时间是 .
&&& 看雪学院()
| 提供带宽资源
|&微信公众帐号:win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法
com:pipe,port=\\.\pipe\com_1,resets=0
文主要记录个人安装VMware+Windgb+Win7内核驱动调试的笔记。
一、安装环境
主机:Windows 7 x64 En U 版
虚拟机:VMware 7.1.4& VM8.0.2 (亲测)
GUestOS(虚拟机): Win7 x64 chs U 版
Windbg: 最新
二、虚拟机配置
打开相应 vmware 虚拟机上的 “Virtaul Machine Settings“
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//4353.jpg"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
“Hardware ”选项中 ----& 点击“Add" 添加一个串口设备
SeriallPort .
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//1211.png"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
&"Next",在 "Serial Port" 里选中 “Output to named
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//3369.png"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
"next",然后如下设置:
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//0413.png"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
确定之后,回到如下界面,在右脚"Virtual Machine Settings" 页面时,在“I/O Mode”
里选中“Yield CPU on poll“
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//2613.png"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
&Ok之后就设定完毕了。
三、Windbg设置
下载地址:
安装之后,设置一个桌面快捷方式,然后,右键-&属性,在Target中的引号后面添加如下:-b
-k com:pipe,port=\\.\pipe\com_1,resets=0
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//1082.png"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
&&&&&&&&&&&
或者是: -b -k
com:port=\\.\pipe\com_1,baud=115200,pipe 【二者似乎皆可】
四、GuestOS设置 (就是虚拟机里的系统配置)
适用于win7 vistar& 如果感觉黑窗口玩不了 请看 7. 这种方法更直观
在administrator权限下, 进入command line模式,&
键入bcdedit命令, 会出现以下界面:
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//1582.gif"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
然后, 设置端口COM1, baudrate为115200 (除COM1外, 也可以用1394或USB.
1394用起来比COM口快多了, 当然前提是你需要有1394卡及其驱动. 很恶心的是Vista不再支持1394的文件传输协议,
但是用windbg双机调试还是可以的)
bcdedit&/dbgsettings&{serial&[baudrate:value][debugport:value]&|
1394&[channel:value]&|&usb&}
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//3434.gif"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
接着, 我们需要复制一个开机选项, 以进入OS的debug模式
bcdedit&/copy&{current}&/d&DebugEnty
DebugPoint为选项名称, 名字可以自己定义. 然后复制得到的ID号.
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//5563.gif"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
接着增加一个新的选项到引导菜单
bcdedit&/displayorder&{current}&{ID}
这里的{ID}的ID值是刚生成的ID值.
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//0717.gif"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
激活DEBUG :
bcdedit&/debug&{ID}&ON
这里的{ID}&的ID值还是刚才的ID值.
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//2414.gif"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
命令执行成功后, 重新启动机器.
7.或者更简单的图形界面设置:在msconfig界面中,选Boot,再选Advanced
options,在选择Debug、Debug port、Baud rate都打上钩。如果所示:
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//5988.jpg"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
选择DebugEntry[debug]作为等入口。启动后,打开windbg.可以看到类似如下的信息:
Microsoft&(R)&Windows&Debugger&Version&6.11.&X86&&
Copyright&(c)&Microsoft&Corporation.&All&rights&reserved.&&
Opened&\\.\pipe\com_1&&
Waiting&to&reconnect...&&
Connected&to&Windows&7&7600&x86&compatible&target&at&(Thu&Dec&10&17:46:36.928&2009&(GMT+8)),&ptr64&FALSE&&
Kernel&Debugger&connection&established.&&(Initial&Breakpoint&requested)&&
Symbol&search&path&is:&***&Invalid&***&&
****************************************************************************&&
*&Symbol&loading&may&be&unreliable&without&a&symbol&search&path.&&&&&&&&&&&*&&
*&Use&.symfix&to&have&the&debugger&choose&a&symbol&path.&&&&&&&&&&&&&&&&&&&*&&
*&After&setting&your&symbol&path,&use&.reload&to&refresh&symbol&locations.&*&&
****************************************************************************&&
Executable&search&path&is:&&&
*********************************************************************&&
*&Symbols&can¬&be&loaded&because&symbol&path&is¬&initialized.&*&&
*&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&The&Symbol&Path&can&be&set&by:&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&using&the&_NT_SYMBOL_PATH&environment&variable.&&&&&&&&&&&&&&&&&*&&
*&&&using&the&-y&&&/SPAN&symbol_path&&argument&when&starting&the&debugger.&*&&
*&&&using&.sympath&and&.sympath+&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*********************************************************************&&
***&ERROR:&Symbol&file&could¬&be&found.&&Defaulted&to&export&symbols&for&ntkrpamp.exe&-&&&
Windows&7&Kernel&Version&7600&MP&(1&procs)&Free&x86&compatible&&
Product:&WinNt,&suite:&TerminalServer&SingleUserTS&&
Built&by:&.x86fre.win7_rtm.5&&
Machine&Name:&&
Kernel&base&=&0x83e0f000&PsLoadedModuleList&=&0x83f57810&&
Debug&session&time:&Thu&Dec&10&17:46:32.658&2009&(GMT+8)&&
System&Uptime:&0&days&0:06:18.429&&
Break&instruction&exception&-&code&&(first&chance)&&
*******************************************************************************&&
*&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&You&are&seeing&this&message&because&you&pressed&either&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&CTRL+C&(if&you&run&kd.exe)&or,&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&CTRL+BREAK&(if&you&run&WinDBG),&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&on&your&debugger&machine's&keyboard.&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&&&&&&&&&&&&&THIS&IS&NOT&A&BUG&OR&A&SYSTEM&CRASH&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&If&you&did¬&intend&to&break&into&the&debugger,&press&the&"g"&key,&then&&&*&&
*&press&the&"Enter"&key&now.&&This&message&might&immediately&reappear.&&If&it&*&&
*&does,&press&"g"&and&"Enter"&again.&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*******************************************************************************&&
nt!DbgBreakPointWithStatus+0x4:&&
83e7a394&cc&&&&&&&&&&&&&&int&&&&&3&&
五、操作方式提示
我发现,如果在GuestOs
-win7启动过程中,如果打开了windbg之后,整个系统就像死机,不动了。估计是windbg启动后设定了断点做调试,试试按F5,或者go这样就可以恢复原来的状态
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。}
直接STATUS_SUCCESS然后返回,不让它做其他处理,但是毫无效果,还是下不了断点,不知道是怎么回事&&
后来想了个办法,直接修改KeUpdateSystemTime()里面检测的地方,和上面一样,让它检测其它地址&&
要改的地方有3处,我只贴了一处的代码。这样就能下各种断点了。
2、双机调试之后就是用户态调试了
x64系统上TP目前做的保护还不是特别多,这也是我选x64入手的原因之一
TP修改了DebugObject中ValIDAccessMask一项,这个就是调试权限,代码中我们恢复下就可以了。
windbg下输入以下命令就可以定位到ValidAccessMask,下硬件断点就能找到ValidAccessMask清零的地方。
至于如何在自己的代码中定位这个变量,我是通过SSDT表查找NtCreateDebugObject这个内核函数地址,里面定位DbgkDebugObjectType
再根据下面的结构体加几个偏移地址(+0x040 +&0x01c)来找到ValidAccessMask。应该有更好的定位方法&&
ValidAccessMask地址写入它原来的值
2、自己代码内利用调试寄存器下硬件断点,然后hook IDT 1号中断服务子程,在里面恢复ValidAccessMask
3、自己代码内利用调试寄存器下硬件断点,定位到上面的清零代码,nop之(我在windbg里直接nop掉是可以的,没有模块自校验)
目前我尝试了第一种方法,开了个IoTimer,虽说1s一次会造成一些概率问题,但测试而已,简单粗暴就好。
&&&&[3]&&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱,我们会在最短的时间内进行处理。
上一篇:【】【】在win7 64位操作系统下运行debug软件的方法-电脑教程-就爱阅读网
您还可以使用以下方式登录
当前位置:&>&&>& > 在win7 64位操作系统下运行debug软件的方法
在win7 64位操作系统下运行debug软件的方法
& 在win7 64位操作系统下运行debug软件的方法& & & & 具体方法如下: 1、我们网上去下载debug.exe,这里我把debug放在了c盘根目录下; 2、 接下来,我们需要下载很重要的一个软件叫DosBox,我已经下载好,并打开它; 3、输入mount c c:\ 加载目录到c盘; 4、输入c:\ 进入到c盘,看到我们已经在c盘下了; 5、 输入debug,表示打开放在c盘下的debug工具,使用r命令,可以看到,我们进入了熟悉的debug环境。
您可能也喜欢这些【原创】win7X64DBGPORT移位数据 - 看雪安全论坛
『软件调试逆向』 [综合性论坛]本版讨论的主题包括:调试逆向、系统底层、商业保护、虚拟机保护、.NET平台等安全相关的话题。
注册日期: Nov 2014
现金: 100 Kx
获感谢文章数:11获会员感谢数:20
, 14:51:37
【原创】win7X64DBGPORT移位数据
自建调试系统写完了&&&这个就丢了
直接运行:&DbgkCopyProcessDebugPort&两处&[+0x20]&[0x40]&
ew&DbgkCopyProcessDebugPort+0x20&0x170
ew&DbgkCopyProcessDebugPort+0x40&0x170
DbgkpSetProcessDebugObject&[+0xB5]&四处&&[0xCA]&[0xF2]&[0x1EB]&四处&&
ew&DbgkCopyProcessDebugPort+0x20&0x170
ew&DbgkCopyProcessDebugPort+0x40&0x170
ew&DbgkpSetProcessDebugObject+0xB5&0x170
ew&DbgkpSetProcessDebugObject+0xCA&0x170
ew&DbgkpSetProcessDebugObject+0xF2&&0x170
ew&DbgkpSetProcessDebugObject+0x1EB&0x170
ew&DbgkForwardException+0x69&0x170
ew&PspExitThread+0x15A&0x170
ew&DbgkpMarkProcessPeb+0x9e&0x170
ew&&DbgkCreateThread+0x54&0x170
ew&&DbgkCreateThread+0x68&0x170
ew&&DbgkpQueueMessage+0xe6&0x170
ew&KiDispatchException+0x23C&0x170
ew&DbgkExitThread+0x2D&0x170
ew&PspProcessDelete+0xE3&0x170
ew&PspTerminateAllThreads+0x13b&0x170
ew&DbgkExitProcess+0x2A&0x170
&ew&DbgkClearProcessDebugObject+0x60&0x170
&ew&DbgkClearProcessDebugObject+0x76&0x170
ew&&DbgkUnMapViewOfSection+0x31&0x170
ew&&DbgkMapViewOfSection&+0x44&0x170
ew&DbgkpCloseObject&+0xD9&&0x170&
ew&DbgkpCloseObject&+0x12B&&0x170&
ew&DbgkpCloseObject&+0x122&0x170&
ew&&DbgkOpenProcessDebugPort&+0x1B&0x170
ew&&DbgkOpenProcessDebugPort&+0x76&0x170
DbgkOpenProcessDebugPort&[0x1B]&[0x76]
ew&&DbgkOpenProcessDebugPort&+0x1B&0x170
ew&&DbgkOpenProcessDebugPort&+0x76&0x170
DbgkpCloseObject&[0xD9]&[0x12B]&[0x122]
ew&DbgkpCloseObject&+0xD9&&0x170&
ew&DbgkpCloseObject&+0x12B&&0x170&
ew&DbgkpCloseObject&+0x122&0x170&
DbgkUnMapViewOfSection&[0x31]
ew&&DbgkUnMapViewOfSection+0x31&0x170
DbgkMapViewOfSection&[0x44]
ew&&DbgkMapViewOfSection&+0x44&0x170
DbgkClearProcessDebugObject&[0x60]&[0x76]
&ew&DbgkClearProcessDebugObject+0x60&0x170
&ew&DbgkClearProcessDebugObject+0x76&0x170
DbgkpMarkProcessPeb&[+0x9E]&一处&这里可写可不写
ew&DbgkpMarkProcessPeb+0x9e&0x170
DbgkCreateThread&[0x54]&[0x68]
ew&&DbgkCreateThread+0x54&0x170
ew&&DbgkCreateThread+0x68&0x170
DbgkpQueueMessage&[0x88]&[0xE6]&
ew&&DbgkpQueueMessage+0x89&0x170
ew&&DbgkpQueueMessage+0xe6&0x170
KiDispatchException&[0x23C]
ew&KiDispatchException+0x23C&0x170
DbgkForwardException&[0x69]
ew&DbgkForwardException+0x69&0x170
PspExitThread[0x15A]
ew&PspExitThread+0x15A&0x170
DbgkExitThread[0x2D]
ew&DbgkExitThread+0x2D&0x170
PspTerminateAllThreads[0x13B]
ew&PspTerminateAllThreads+0x13b&0x170
DbgkExitProcess&&&&&[0x2A]
ew&DbgkExitProcess+0x2A&0x170
PspProcessDelete&[0xE3]
ew&PspProcessDelete+0xE3&0x170
ntoskrnl+4055E0;dbgport
符号文件关闭回调&PspNotifyEnableMask
被 落笔飞花 最后编辑
注册日期: Mar 2011
现金: 49 Kx
获感谢文章数:1获会员感谢数:1
, 00:04:17
虽然没看懂,还是谢谢分享
注册日期: Mar 2011
现金: 49 Kx
获感谢文章数:1获会员感谢数:1
, 08:15:19
怎么自建求指导
您不可以发表主题
您不可以回复帖子
您不可以上传附件
您不可以编辑自己的帖子
论坛论坛启用
用户控制面板
会员在线状态
『看雪众测/众包』
『Android 安全』
『Android 开发』
『iOS安全』
『求助问答』
『经典问答』
『资料导航』
『软件调试逆向』
『密码学』
『编程技术』
『C32Asm』
『MDebug』
『安全工具开发』
『加壳与脱壳』
『CrackMe&ReverseMe』
『资源下载』
『WEB安全』
『漏洞分析』
『外文翻译』
『招聘专区』
『职业生涯』
『15PB培训』
『麦洛克菲培训』
『茶余饭后』
『安全资讯』
『论坛活动』
6)PEDIY Crackme竞赛2009
7)看雪十周年专版
8)腾讯公司2010软件安全竞赛
9)2011 Exploit Me竞赛
『图书项目版』
《加密与解密(第三版)》
《C++反汇编与逆向分析技术揭秘》
《Android软件安全与逆向分析》
『论坛版务』
所有时间均为北京时间, 现在的时间是 .
&&& 看雪学院()
| 提供带宽资源
|&微信公众帐号:win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法
com:pipe,port=\\.\pipe\com_1,resets=0
文主要记录个人安装VMware+Windgb+Win7内核驱动调试的笔记。
一、安装环境
主机:Windows 7 x64 En U 版
虚拟机:VMware 7.1.4& VM8.0.2 (亲测)
GUestOS(虚拟机): Win7 x64 chs U 版
Windbg: 最新
二、虚拟机配置
打开相应 vmware 虚拟机上的 “Virtaul Machine Settings“
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//4353.jpg"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
“Hardware ”选项中 ----& 点击“Add" 添加一个串口设备
SeriallPort .
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//1211.png"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
&"Next",在 "Serial Port" 里选中 “Output to named
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//3369.png"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
"next",然后如下设置:
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//0413.png"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
确定之后,回到如下界面,在右脚"Virtual Machine Settings" 页面时,在“I/O Mode”
里选中“Yield CPU on poll“
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//2613.png"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
&Ok之后就设定完毕了。
三、Windbg设置
下载地址:
安装之后,设置一个桌面快捷方式,然后,右键-&属性,在Target中的引号后面添加如下:-b
-k com:pipe,port=\\.\pipe\com_1,resets=0
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//1082.png"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
&&&&&&&&&&&
或者是: -b -k
com:port=\\.\pipe\com_1,baud=115200,pipe 【二者似乎皆可】
四、GuestOS设置 (就是虚拟机里的系统配置)
适用于win7 vistar& 如果感觉黑窗口玩不了 请看 7. 这种方法更直观
在administrator权限下, 进入command line模式,&
键入bcdedit命令, 会出现以下界面:
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//1582.gif"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
然后, 设置端口COM1, baudrate为115200 (除COM1外, 也可以用1394或USB.
1394用起来比COM口快多了, 当然前提是你需要有1394卡及其驱动. 很恶心的是Vista不再支持1394的文件传输协议,
但是用windbg双机调试还是可以的)
bcdedit&/dbgsettings&{serial&[baudrate:value][debugport:value]&|
1394&[channel:value]&|&usb&}
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//3434.gif"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
接着, 我们需要复制一个开机选项, 以进入OS的debug模式
bcdedit&/copy&{current}&/d&DebugEnty
DebugPoint为选项名称, 名字可以自己定义. 然后复制得到的ID号.
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//5563.gif"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
接着增加一个新的选项到引导菜单
bcdedit&/displayorder&{current}&{ID}
这里的{ID}的ID值是刚生成的ID值.
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//0717.gif"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
激活DEBUG :
bcdedit&/debug&{ID}&ON
这里的{ID}&的ID值还是刚才的ID值.
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//2414.gif"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
命令执行成功后, 重新启动机器.
7.或者更简单的图形界面设置:在msconfig界面中,选Boot,再选Advanced
options,在选择Debug、Debug port、Baud rate都打上钩。如果所示:
<img ALT="" src="/blog7style/images/common/sg_trans.gif" real_src ="/images//5988.jpg"
TITLE="win7&x64驱动开发经验----windbg&双机调试配置&、问题及解决办法" />
选择DebugEntry[debug]作为等入口。启动后,打开windbg.可以看到类似如下的信息:
Microsoft&(R)&Windows&Debugger&Version&6.11.&X86&&
Copyright&(c)&Microsoft&Corporation.&All&rights&reserved.&&
Opened&\\.\pipe\com_1&&
Waiting&to&reconnect...&&
Connected&to&Windows&7&7600&x86&compatible&target&at&(Thu&Dec&10&17:46:36.928&2009&(GMT+8)),&ptr64&FALSE&&
Kernel&Debugger&connection&established.&&(Initial&Breakpoint&requested)&&
Symbol&search&path&is:&***&Invalid&***&&
****************************************************************************&&
*&Symbol&loading&may&be&unreliable&without&a&symbol&search&path.&&&&&&&&&&&*&&
*&Use&.symfix&to&have&the&debugger&choose&a&symbol&path.&&&&&&&&&&&&&&&&&&&*&&
*&After&setting&your&symbol&path,&use&.reload&to&refresh&symbol&locations.&*&&
****************************************************************************&&
Executable&search&path&is:&&&
*********************************************************************&&
*&Symbols&can¬&be&loaded&because&symbol&path&is¬&initialized.&*&&
*&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&The&Symbol&Path&can&be&set&by:&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&using&the&_NT_SYMBOL_PATH&environment&variable.&&&&&&&&&&&&&&&&&*&&
*&&&using&the&-y&&&/SPAN&symbol_path&&argument&when&starting&the&debugger.&*&&
*&&&using&.sympath&and&.sympath+&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*********************************************************************&&
***&ERROR:&Symbol&file&could¬&be&found.&&Defaulted&to&export&symbols&for&ntkrpamp.exe&-&&&
Windows&7&Kernel&Version&7600&MP&(1&procs)&Free&x86&compatible&&
Product:&WinNt,&suite:&TerminalServer&SingleUserTS&&
Built&by:&.x86fre.win7_rtm.5&&
Machine&Name:&&
Kernel&base&=&0x83e0f000&PsLoadedModuleList&=&0x83f57810&&
Debug&session&time:&Thu&Dec&10&17:46:32.658&2009&(GMT+8)&&
System&Uptime:&0&days&0:06:18.429&&
Break&instruction&exception&-&code&&(first&chance)&&
*******************************************************************************&&
*&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&You&are&seeing&this&message&because&you&pressed&either&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&CTRL+C&(if&you&run&kd.exe)&or,&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&CTRL+BREAK&(if&you&run&WinDBG),&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&on&your&debugger&machine's&keyboard.&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&&&&&&&&&&&&&THIS&IS&NOT&A&BUG&OR&A&SYSTEM&CRASH&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&If&you&did¬&intend&to&break&into&the&debugger,&press&the&"g"&key,&then&&&*&&
*&press&the&"Enter"&key&now.&&This&message&might&immediately&reappear.&&If&it&*&&
*&does,&press&"g"&and&"Enter"&again.&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&*&&
*******************************************************************************&&
nt!DbgBreakPointWithStatus+0x4:&&
83e7a394&cc&&&&&&&&&&&&&&int&&&&&3&&
五、操作方式提示
我发现,如果在GuestOs
-win7启动过程中,如果打开了windbg之后,整个系统就像死机,不动了。估计是windbg启动后设定了断点做调试,试试按F5,或者go这样就可以恢复原来的状态
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。}
我要回帖
更多推荐
- ·微信聊天截图软件信息怎样才能精准到秒呢
- ·广昊酒店用品集团和江苏恒业纺织有限公司广昊纺织是一家的吗?
- ·这个界面家人们知道是什么软件界面吗?
- ·北京东城区黄化门大街8号有北京饿了么有哪些站点外卖吗?
- ·体育彩票欧洲杯购买在哪个网站可以买球赛 ​
- ·2016年河北高考594分能报燕山大学排名2016软件工程么,录取概率多少
- ·张王哥是小学生的王者歌曲之歌
- ·高考选修课的好处a+有什么好处
- ·求暗黑者1百度云资源,好人一生平安。。。。
- ·秒挂最抢红包开挂软件下载下载
- ·在哪里看重庆沙坪坝网络广播电视台的视频
- ·苹果6连网后苹果微信图片打不开开
- ·电脑微信支付密码怎么设置付上密码不借
- ·在分红宝注册网站要钱吗要钱吗
- ·硬盘苹果双系统引导区修复坏了,启动不了系统,现在用旧硬盘启动了电脑,手上没有u
- ·华硕m5a99x华硕主板不识别硬盘能识别32g内存
- ·索尼笔记本cpu天梯图2016电脑哪有的卖2016
- ·大神手机usb调试问下,为什么我的手机存储在电脑里读不出来,USB调试打开的,却没
- ·qq空间主页图片素材九张图素材
- ·win7 64系统,怎么对抗vm debug port 8700port检测
- ·苹果手机怎么同步另一个手机6s内多了qq同步
- ·图片是 登陆公司核心金山系统重装高手的登陆窗口,输入账号密码后提示如下状况,请IT高手赐教, 提示:都是公司内
- ·小吴中朝院长图片何子阳搜索图片
- ·我们的丛林法则什么时候出来的更新
- ·6历史上的今天8月22日8点天是否黑
- ·怎么隐藏微信号样更改微信号
- ·唐山丰润8小区8小区用什么wifi管事?
- ·s-t段夜下降生>0.2mv是啥意思
- ·接灯饰家电安装接单app平台的APP
- ·1.小阳向我提了一个赵z阳若干问题讲话“ ”。
- ·您好,请问电信和联通长城宽带玩游戏哪个好,主玩游戏一年都多少钱??
- ·viv0步步高x5maxx没声音了
- ·王者荣耀李白出装暑假时会将成8888金币吗
