Windbg 双机调试进程

最新推荐文章于 2023-06-24 21:41:22 发布
最新推荐文章于 2023-06-24 21:41:22 发布
阅读量3.8k 收藏 2
点赞数 2
分类专栏: IDA Windbg 软件调试 文章标签: 软件调试 IDA Windbg vmware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BraveJohn/article/details/17720263
版权
软件调试 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
IDA
1 篇文章 0 订阅
订阅专栏
Windbg
1 篇文章 0 订阅
订阅专栏

背景:最近需要逆向国内某知名视频软件的一个功能,公司配置的电脑是64位的,目标程序(一个DLL)在64位机器上也是64位的,用64位IDA调试时,按F5键无法形成类"C"的代码(网上有相关的解决办法,但是本人没有测试出来),但是用32位的IDA分析32为的程序就没的问题。因此搜集资料,最终选取构造一个32位的虚拟机系统,用32为的IDA+Windbg采用动静结合的方式逆向程序。

 

调试环境:Windows + Windbg + VMware

1.建立Windows和虚拟机的双机调试环境(具体办法参考《寒江独钓》或《Windows驱动设计》)

2.以Debug的方式启动虚拟机

3.在虚拟机中打开任务管理器查看想要调试进程的ID

4.待程序加载完毕后,中断虚拟机,在Windbg命令行中输入命令 !process 0 0

5.找到目标进程的ID,输入命令.process /p [PRCESS值],从而选中需要调试的进程

6.输入命令.reload /f /user,加载模块符号

7.这样就可以跟调试本地进程一样调试远程进程了

BraveJohn
关注
专栏目录
双机调试用户态应用程序
baggiowangyu的专栏
07-03 2724
我在本地调试API钩子的时候经常遇到调试到一半机器就卡死了,我怀疑是不是因为钩子导致的锁死问题。所以考虑到这样决定使用双机调试。网上查了一下双机调试的方法,是主要有两种:VS2005双机调试Windbg双机调试。从配置方法上讲VS2005配置双机调式比较简单。那我们先介绍VS2005的双机调试。 VS2005双机调试 约定术语: 被调试端:运行调试程序的机器 调试端:使用VS2005进行
WinDBG 配置内核双机调试
weixin_30790841的博客
09-19 604
WinDBG 是在 windows 平台下,强大的用户态和内核态调试工具,相比较于 Visual Studio 它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大,WinDBG由于是微软的产品所以能够调试Windows系统的内核,另外一个用途是可以用来分析dump数据,本笔记用于记录WinDBG内核调试的配置过程,并附有常用命令的使用方法。 ...
windbg与多进程调试
软件调试的变革
08-14 1945
我们首先做个实验,来看windbg是否支持多进程调试, 我首先编写一个MFC工程命名为mutiprocess,在这个工程中简单添加一个按钮,作用是启动一个线程。代码如下:  // TODO: Add your control notification handler code
(1)Windbg搭建双机调试环境
Sven的忘却日记
02-19 1552
最近开始学习内核漏洞利用相关的技术,我决定分享一些实践笔记! 本篇主要是介绍如何搭建实验环境,后面将介绍并使用HackSysExtremeVulnerableDriver来练习各种类型内核漏洞的利用方法! 用到的工具: WinDbg VMware 15 Pro Win7Sp1(VM-Debuggee) 设置调试Windbg安装完后,设置系统环境变量: _NT_SYMBOL_PATH 环境变...
AI学习所需知道的数学知识
soyb968的博客
12-21 197
所有知识整理到百度网盘 链接:https://pan.baidu.com/s/1cOwNYWrEZ7n1y7D5WFDMGA 提取码:oqo7 复制这段内容后打开百度网盘手机App,操作更方便哦--来自百度网盘超级会员V3的分享
VMware+windbg搭建双机调试
weixin_30670925的博客
01-04 127
VM版本如下: 虚拟机用的是XP系统,找到XP系统打开系统盘(比如C盘),找到Boot.ini,去掉这个文件的只读属性,用记事本打开Boot.ini [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)r...
windbg双机调试命令使用
mofabang的专栏
11-11 720
F5或在命令输入g,运行。 F9在代码光标所在行下断点。 bl列出所有断点 bc *删除所有断点 bc 0 删除0号断点0n(十进制) 0x(十六进制) 0t(8进制) 0y(2进制) 可以使用n [8|10|16]命令来修改数值进制表示方式(输入n可查看当前进制,默认为16进制)dt - dump symbolic type information. dt [[-ny] [!
双机调试windbg的命令
bilibili的博客
03-24 6059
啦啦啦
操作系统 实验2 windbg双机调试+系统调用过程
Lawliet_233的博客
11-09 2036
1.配置windbg双机调试环境,给出关键步骤及最终成功断下的截图。 1).在安装好的win7虚拟机设置中,添加一个串行端口,并选择输出到命名管道,具体设置如图。 这样设置之后,在后面的步骤中,主机便能通过这个管道与虚拟机相连进行双机调试。 2)在win7虚拟机中以管理员权限打开命令行并做以下设置 3)在本机里创建一个windbg的快捷方式,在目标一栏里加上以下代码 -...
使用windbg进行双机内核调试
03-06
但在某些情况下,如远程服务器的内核问题、硬件故障模拟或者多系统环境下的协同调试双机调试就显得尤为必要。它允许我们在一台主机(调试器)上控制另一台目标机(被调试机)的内核运行状态。 **设置双机调试的...
WinDbgvmware虚拟机调试配置 解决WinDbgvmware不能连接问题
03-29
利用VMWareWinDbg调试驱动程序,配置调试机(本机真实系统)和被调试机(虚拟系统)。 笔者也是第一次配置,按照网上一般教程总是配置不成功。后来发现是因为有的笔记本电脑上是没有COM1口的。于是装了个虚拟串口软件(VSPD)打算虚拟一个串口用来调试,装了之后发现VSPD显示本机上是有COM3口的(但是设备管理器上没有显示,只能从VSPD上看到...)。于是自己试了一下,用本机上的COM3口和虚拟机上的com2口进行的连接,结果成功了。 上传给大家参考一下。
windbg双机调试时对R3函数下断
W Blog
11-08 4747
对于刚接触windbg的童鞋可能想在双机调试的环境下查看某个用户态函数的反汇编,可能会直接下直接断点,这是会产生如下提示的错误  Bp expression ‘*******’ could not be resolved, adding deferred bp 这是因为没有切换到用户环境。 可依次执行如下命令 kd> !process 0 0 explorer.exe PROCESS 8
通过Windbg利用VMware虚拟机进行双机调试
SR0ad的涅盘地
10-09 2782
看《Windows核心编程》总是想把每一个细节都搞明白,所以调试内核是必不可少的,不想使用Win7下的本地内核调试。索性拿出《寒江独钓》配置一下虚拟机,双机调试XP系统吧。 WinDbg毕竟是微软支持的调试器,虽然OllyDbg也非常优秀,但是调试内核以及系统机制,还是一点点学习WinDbg的使用吧。 1.在VMware下安装纯净Win XP操作系统。 2.下载符合操作系统版本的Wi
vc远程调试启动进程(非attach)
ultracpp的专栏
08-26 599
调试端设置同attach进程方式的远程调试 代码端,需要在[Project] [Properties] [Configuration Properties] [Debugging]。将Debugger to launch选为Windows Remote Debugger. 然后设置如图:
Windbg调试命令详解(3)
张佩的技术库
10-08 6216
3 进程与线程 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。 3.1 进程命令 进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。 竖线命令显示当前被调试进程列表的状态信息,这个命令在本章开头已作过介绍,命令格式如下: | [进程号] 请注意这里的定语:被调试进程
windbg双机远程调试
yjz1409276的专栏
06-01 924
1. 拷贝要调试的可执行文件和对应的PDB符号到虚拟机。  2. 在虚拟机中启动服务端,有2种方式。`windbg.exe -server tcp:port=8888 C:\Test.exe` 这种方式可以调试main函数和程序的启动过程。  `windbg.exe -server tcp:port=8888 -p 10086` 这种方式相当于附加到PID为10086的进程上去。  3. 在
Windbg附加到软件进程上排查异常闪退的问题
dvlinker的技术专栏
06-10 9487
使用Windbg和Process Explorer排查因为内存泄漏导致的软件异常闪退问题。
32位/64位WINDOWS驱动之windbg双机调试
最新发布
a756598009的博客
06-24 3810
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg
Windbg学习18(sx和ld)
weixin_30485379的博客
05-24 232
1.sx sx* 命令用来控制被调试的程序发生某个异常或特定事件时,调试器要采取的动作 sx 命令显示当前进程的异常列表和所有非异常的事件列表,并且显示调试器遇到每个异常和事件时的行为。 sxr 命令将所有异常和事件过滤器的状态重设为默认值。命令被清除、中断和继续选项被重设为默认值,等等。 sx这个命令的输出信息可以分为三个部分: 第一部分是事件处理与相应处理模式的交互,第二部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值