VMKD windbg+vmWare进行两机调试的加速工具的介绍及原理简单分析

最新推荐文章于 2024-04-12 02:30:17 发布
最新推荐文章于 2024-04-12 02:30:17 发布
阅读量3.2k 收藏 2
点赞数
文章标签: vmware 工具 hook resources c null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aerror/article/details/2863922
版权

可以使用windbg+vmWare,通过虚拟COM口和NamePipe进行内核或用户级的双机调试,但是由于COM的速率最大限制只要115200,调试速度是相当慢的,如果你想使用如.dump这样转储命令,你可能需要等到几个小时或者更多.

 

VMKD Virtual Machine KD Extensions 这个工具就是解决关于这个问题的.

 

下载和使用方法: http://www.nynaeve.net/?page_id=168

原理介绍:  http://www.nynaeve.net/?p=174
 

作者声明VMKD仅仅在  VMware Server 1.0.3 and 1.0.4上测试使用成功.

 

很不幸我使用的说VMWARE station 6.0, 我试了一下果然不支持.

 

这个东东挺不错的,于是调试和分析了一下kdvmware.sys和vmxpatch.dll,发现驱动是没有问题的,问题出现在vmxpatch.dll上,在这个DLL被vmxinject.exe注入到VMWARE-VMX.EXE中的DLLMain初始化过程中,它需要根据特征码找出VMWare后门处理函数的偏移和IsVmPriviligeMode这个函数的地址,然后内存补丁,Hook住这个后门处理函数. 结果是IsVmPriviligeMode这个函数的特征失效.

我的解决方法是:

使用UltraEdit打开vmxpatch.dll,

查找:

A1 00 FF FF FF FF FF FF  FF FF 64 00 8B 00 0D 00

2C 00 00 00 00 00 00 00  8B 00 14 00 81 00 8B 00

82 00 FC 00 03 00 00 00  00 00 8B 00 15 00 FF FF

FF FF FF FF FF FF C1 00  E0 00 0C 00 56 00 8B 00

B4 00 10 00 54 00 C2 00  FF 00 FF 00 33 00 C9 00

85 00 F6 00 0F 00 94 00  C1 00 8A 00 C1 00 5E 00

C3 00

替换成:

56 00 E8 00 FF FF FF FF FF FF FF FF FF FF FF FF

FF FF FF FF FF FF FF FF C1 00 E0 00 0C 00 8B 00

B4 00 10 00 3C 00 C3 00 FF 00 FF 00 33 00 C9 00

85 00 F6 00 0F 00 94 00 C1 00 8A 00 FF FF FF FF

FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

FF FF                                      

保存.

重新使用vmxinject.exe把vmxpatch.dll这个文件注入VMWARE-VMX.EXE,然后在虚拟的操作系统中,net start kdvmware,然后打开windbg, Ctrl+Break,工作正常, J.

 

找Bug的过程中顺便分析了一下这个程序的一些原理,呵呵,原文长篇大论,看到我很头晕,有些意思,这里顺便简要说一下.

这个工具实现的基本原理,

1. 利用驱动kdvmware.sys在ring0中Hook住KDCOM.DLL中的调试通信协议函数, "KdSendPacket","KdReceivePacket","KdSave","KdRestore",绕开真正的COM通信,把发/送的数据直接复制到一个缓冲内存中, 利用VMWare的Backdoor的0x0B功能(osNotFound)在目标虚拟机操作系统和宿主机器之间进行通知,.

kdvmware.sys中实现这个通知的代码如下:

                                         push    ebx

.text:00011009                 mov     eax, 564D5868h   ;“VMHx”

.text:0001100E                 xor     ebx, ebx

.text:00011010                 mov     cx, 12h     ;osNotFound

.text:00011014                 mov     dx, 5658h  ; “Vx”

.text:00011018                 in      eax, dx         ; 返回eax = 564D5868h

.text:00011019                 pop     ebx

.text:0001101A                 retn

 

2.一旦kdvmware.sys调用这个函数, vmxpatch.dll装好的钩子函数就会收到通知,在VMWARE-VMX.EXE的虚拟内存中查找内容为"KdVm Communications Back Channel Interf"...的地址(查找一次就可以,下次直接使用找好的地址),直接进行读写操作,这样就实现在host和vm之间的数据交换,然后vmxpatch.dll再处理一下和windbg的namepipe的数据转发, 这个整个windbg调试协议的通信就通了。windbg的读写namepipe的时候是不会限制速度的,没有疑问,这样肯定是比较COM口通信要快.

 

 

另外,关于kdvmware.sys在内核级Hook的修改内存的保护属性,它没有使用设置CR0.wp这个标志位的方法,而是另一种方法,这里顺便贴一下.

 

  1.  
  2. /**
  3.     正规的方式来获取读的权限.
  4. */
  5. NTSTATUS  EnableWritable(PVOID *dest,int len,PMDL *ppMdl, PVOID *lppv)
  6.  {
  7.      PMDL pMdl=NULL;
  8.      pMdl = IoAllocateMdl(dest,len,FALSE,FALSE,NULL);
  9.      *ppMdl =pMdl;
  10.      if( !pMdl )
  11.      {
  12.          return STATUS_INSUFFICIENT_RESOURCES;
  13.      }
  14.      
  15.     
  16.      MmProbeAndLockPages(pMdl,KernelMode,IoModifyAccess);
  17.  
  18.  
  19.      PVOID pv = MmMapLockedPagesSpecifyCache(pMdl,KernelMode,  MmCached,NULL,0,NormalPagePriority);
  20.      *lppv = pv;
  21.  
  22.      if(!pv)
  23.      {
  24.         IoFreeMdl(pMdl);
  25.          return STATUS_ACCESS_VIOLATION;
  26.      }
  27.  
  28.     NTSTATUS status = MmProtectMdlSystemAddress(pMdl,PAGE_EXECUTE_READWRITE);
  29.  
  30.     if(status!=STATUS_SUCCESS)
  31.     {
  32.         MmUnmapLockedPages(pv,pMdl);
  33.         MmUnlockPages(pMdl);
  34.         IoFreeMdl(pMdl);
  35.     }
  36.  
  37.     return status;
  38.  
  39.  
  40.  }
  41.  
  42. /**
  43.     正规的方式来关闭写的权限
  44. */
  45.  
  46. NTSTATUS __stdcall DisableWritable(PMDL pMdl,PVOID lpv)
  47. {
  48.     if(lpv)
  49.     {
  50.         MmUnmapLockedPages(lpv,pMdl);
  51.         MmUnlockPages(pMdl);
  52.         IoFreeMdl(pMdl);
  53.     }
  54.     return STATUS_SUCCESS;
  55. }
  56.  
  57.  
aerror
关注
WinDbg学习笔记六 - 内核调试配置
imJaron的博客
11-07 846
内核调试可以分为三种情况: 本机内核调试,双机内核调试 - 真机双机内核调试,虚拟机双机内核调试。本篇将介绍本机内核调试以及虚拟机内核调试的配置。 本机内核调试配置: 本机内核调试功能比较单一,只能读写内存,没有基本的单步断点等功能, 可以主要用来查看系统内核信息。目前主要是通过WinDbg自带的kldbgdrv.sys驱动调用nt!KdSystemDebugControl函数来提供支
VirtualKD-2.0
08-22
VmWare + WinDBG进行内核调试的时候由于VmWare实现问题,速度非常慢,一个命令经常要等几分钟。 VMKD解决了这个问题,但它暂时只支持VmWare的免费版,没法用在WordStation上,而且安装过程比较繁琐。 VirtualKD...
VirtualKD-3.0,VMWare双机调试Windows神器
10-21
VirtualKD-3.0,VMWare双机调试Windows神器,
windbg+vm内核调试加速工具VirtualKD
xum2008的专栏
12-20 3389
今天又想起来VirtualKD这个东西,试用了一下,真是爽坏了,可能我火星了~~很久以前就知道小喂有个VmKd工具,使用Vmware的后门指令直接拷贝数据来代替模拟串口,能大大提高调试时的数据传输速度。不过那个对VMware版本的依赖性太强,我的Vmware就没法用,所以很不爽得又放下了,很长一段时间也没关注过。最近翻资料时又找到index09同学的一篇文章,介绍了比Vmk
Windbg双机调试的二三事
sxr__nc的博客
03-10 257
今天在调试设置Windbg的双机调试的时候,真的是恶心到我了,按照书上的设置,配了半天,上网找资料找了好一会儿,还是没搞定?最后把网上的方法和书上的设置结合了一下,居然就成了。把这个过程记录一下,就当是自己的配置笔记吧。 ————————————这是分割线———————————————————————— 接下来开始介绍Windbg的双机调试步骤:(我的搭建环境是虚拟机XP系统) 其实很简单就只有两...
双机调试环境搭建
qq_38590027的博客
04-06 574
写壳 1. 创建两个项目 主程序 用于加载原程序后进行加壳工作 设置项目属性 C/C++ -所有选项-运行库 : 多线程DLL(MD) C/C++ -所有选项-支持仅我的代码调式 :否 右键项目 -生成依赖项-项目依赖项 : 勾选stub DLL程序 用于执行修复原程序代码.如解密代码段,修复IAT,修复重定位操作 前置代码 合并区段 --因为会用到全局变量,常量,而这些都在.data段,所以为了避免代码复杂度过高,合并到.text段 在stub.cpp文件头加以下代码
WinDbg双机调试,很慢
Lydia的博客
07-01 2288
WinDbg双机调试,很慢 SRV*F:\WindowsXP-SP3-x86-symbols*http://msdl.microsoft.com/download/symbols
WinDbg.入门.4.内核调试配置1
08-03
本文将重点介绍如何进行**内核调试配置**,特别关注在没有两台物理计算机的情况下如何使用虚拟机作为目标机来进行内核调试。 #### 二、基础知识 **内核调试**主要用于调试驱动程序、分析操作系统内核结构等问题。...
WinDbg入门:内核调试配置详解与虚拟机应用
WinDbg是一款强大的Windows内核调试工具,用于深入分析调试驱动代码、内核结构以及其他底层系统组件。本文主要探讨了WinDbg在内核调试中的配置和使用方法,特别是在不同场景下的设置。 首先,内核调试通常涉及到...
qemu-w64-setup
11-29
可用于Windows平台下的转换工具,可转换qcow2、raw、vmdk等镜像格式
Themida Winlicense不用修复VM_OEP脱壳教程.rar
03-28
Themida Winlicense脱壳教程 视频 TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. 这里补充下,去OEP的思路,壳先填充数据,然后填充IAT,然后开始模拟OEP代码,这样下去的. 这是我自己总结的经验,我们先到OEP去看看,这里大家熟悉吧,Delphi 第一个call里面的内容,我不说这么来的了,这个以前很多教程说过,可以搜索下,吾爱有很多.我们看下IAT的情况,IAT被变形了,为了节省时间可以直接用UIF修复IAT。我们现在先修复下IAT,然后Dump一份修复IAT保存下来,IAT修复好了,我们来Dump,入口点我们先修复成这个第一个call的地方.好,dump修复完了,下面就开始关键了,我们继续F8走
VMware打不开文件“xxx\.xxx.vmkd”,系统找不到指定的文件-----最佳解决方案
ZDZA_的博客
03-27 1万+
突如其来的错误 花费了些时间搭建的VMware渗透测试主机,今天打开突然出现了这个情况!! error:打不开文件“D:\testwin10\Windows 10渗透-000002.vmdk”: 系统找不到指定的文件。 如下图所示 网上找了很多的方案但是并没能正确的解决。 问题所在 根据提示是文件出现了问题。 可以看到是我这里少了一个文件导致的这个问题。毕竟这是用来做安全的一台虚机,所以我猜测应该是被Windows Defender给删除了,然而我一开始并没有发现并且彻底删除了这个文件。。。。。所以如
关于vmkd加速内核调试
xiao2004的专栏
03-01 853
vmkd着实诱人,也着实把我给配蒙了一把。1. vmkd的官方和最新版本问题网上的教程清一色的是讲到 http://www.nynaeve.net/?page_id=168 这个主页,我也毫不犹豫的选择了这个,最新版本是 Current VMKD release version: 1.1.1.7启动后发现虚拟机中的vmkd服务启动不了,报错,google之,再回头看readme,因为是
双机调试环境搭建 windbg + virtualkd
weixin_41111116的博客
08-21 2874
双机调试环境搭建
VM安装vmkd文件和ovf文件过程及安装操作中出现的问题解决方案
AlvinCR的博客
05-12 1979
VM安装其它文件相关内容请访问(基本是最全了): http://alvincr.com/2020/05/vm%e5%ae%89%e8%a3%85%e5%ae%89%e5%8d%93x86/ 方法一: 1 安装 对于这种有ovf文件的直接选择Vm打开ovf自动安装即可 存在问题: 解决方法: 导入失败,因为 E:\系统\IE10.Win8.For.Windows.VMware\IE10-Win8.ovf 未通过 OVF 规范一致性或虚拟硬件合规性检查。 请单击“重试”放松 OVF
VMware导出虚拟机vmkd格式转换qcow2
最新发布
qq_44639446的博客
04-12 2049
VMware导出虚拟机vmkd格式转换qcow2。
vmware VM虚拟机去虚拟化教程 硬件虚拟机 过鲁大师检测
热门推荐
d3soft的专栏
04-16 2万+
文件,文件路径为:C:\Program Files (x86)\VMware\VMware Workstation\x64\vmware-vmx.exe。在修改之前请先备份一个vmware-vmx.exe 如果文件 改错到时可以恢复程序弄,另外虚拟机是要在关闭状态下修改。主板、系统制造商等bios信息是用Phoenix BIOS Editor来修改的,bios文件对应为BIOS.440.ROM 文末和工具一起打包下载。打开后,修改DMI Strings 信息页面,如下图就是修改好的bios。
找不到VMX 二进制文件(vmware-vmx.exe)解决教程
muzhibot的博客
01-03 7020
https://down7.huorong.cn/sysdiag-full-5.0.75.1-2024.01.02.1.exe
VMware | vmware-vmx.exe进程无法关闭,死机等问题
天泽岁月
02-20 2万+
VMware | vmware-vmx.exe进程无法关闭,死机等问题
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值