Mac下调试Win内核 (双虚拟机调试) 环境配置

2021-02-12 13:19

阅读:490

调试机: Win7+Windbg
被调试机: xp
虚拟机: VM

技术分享图片

修改VM配置 添加串口

右击 -> 显示包内容 然后编辑 .vmx 后戳的文件 添加下面的配置

win7 (调试机):
serial0.present = "TRUE"
serial0.fileType = "pipe"
serial0.startConnected = "TRUE"
serial0.fileName = "/Users/jibin/Downloads/serial"
serial0.tryNoRxLoss = "FALSE"
serial0.pipe.endPoint = "client"

XP (被调试机):
serial0.present = "TRUE"
serial0.fileType = "pipe"
serial0.fileName = "/Users/jibin/Downloads/serial"
serial0.tryNoRxLoss = "FALSE"
serial0.pipe.endPoint = "server"

修改系统配置

右击我的电脑->管理->设备管理器->端口
找到下面的com1,右键属性->端口设置,波特率改成115200
(两台虚拟机都需要修改,xp 需要修改 boot.ini 文件,下面有讲到)

技术分享图片

设置 c:\boot.ini (在‘运行‘中输入c:\boot.ini 即可打开 boot.ini 文件)
这一步直接开启了调试功能, 如果是 xin7需要在系统配置中修改 参考文章中就是双 win7。

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="XP Professional with Kernel Debugging" /noexecute=optin /fastdetect /debug /debugport=COM1 /baudrate=115200
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

/debug 开启内核调试
/debugport=COM1 告诉系统使用哪个端口来链接调试系统和被调试系统
/baudrate=115200 指定串口的数据传输速率

开始调试

重启 被调试机xp 使其停留在引导界面

技术分享图片

在调试机win7中打开 windbg 进行配置
File -> kernel debug...

技术分享图片

然后重启被调试机xp

参考:
https://bbs.pediy.com/thread-222660.htm
《恶意代码分析实战》第十章


评论


亲,登录后才可以留言!