Windows内核调试实验方法

最新推荐文章于 2022-01-20 14:48:41 发布
最新推荐文章于 2022-01-20 14:48:41 发布
阅读量380 收藏
点赞数
文章标签: 操作系统 运维

如果需要通过实验来了解windows操作系统,免不了要进行内核调试,这边文章把一些内核调试途径和方法罗列下。

实验环境

Windows 8 Enterprise+ Hypher V

VM - 2003 SP2

VM - 2008 R2

工具使用

实验用到的工具主要是调试工具windbg,进行内核级的调试,如何向查看系统内核的情况,一般有四种方式,

WindbgLocal Debug,需要更改机器启动设置,重启机器。

LiveDebug,需要准备两台机器,从一台通过调试工具连接到目标机器来调试目标机器。

LiveKD,可以帮助我们在本机或者VM上面直接调试。

KernelDump,通过抓取内核Dump来查看内存状态。

Windbg的安装方法

Windbg的安装包包含在windows WDKSDK中,在安装SDK的过程中选择Debug Tool For Windows选项,SDK会安装Windbg

WindowsSDK下载

http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx

Symbol的配置

Windbg安装成功后,非常关键的一步是配置Symbol(符号表)缓存和网络地址,默认的路径为

SRV*your local symbolfolder*http://msdl.microsoft.com/download/symbols

需要设置用户环境变量

_NT_SYMBOL_PATH =SRV*your local folder for symbols*http://msdl.microsoft.com/download/symbols

Windbg Local Debug

管理员启动命令行

Bcdedit /debug ON

管理员启动windbg

选择File - Kernel Debug - Local

LiveKD的使用方法

LiveKD允许我们不需要另外一台物理机就可以进行内核调试,所以我实验的过程中大多数时候都会用LiveKD来实现,只是在特殊的查询可能要通过抓Kernel Dump的形式来演示,(因为LiveKD不能访问硬件,所以硬件相关的命令在LiveKD中得不到返回结果)

LiveKD下载

http://technet.microsoft.com/en-us/sysinternals/bb897415.aspx

如果你的Windbg安装目录为默认目录的话,LiveKD可以自动找到相应的路径,否则的话你需要将LiveKD拷贝到Windbg的安装目录下。

Local machine

本机调试直接通过管理员权限运行命令行,转到LiveKD所在的目录,运行LiveKD

Virtual machine

LiveKD也可以直接调试Hypher-VVM虚拟机,通过LiveKD加参数-hvl列出所有的Hypher-V虚拟机名和Guid,然后选择要调试的虚拟机执行LiveKD加参数-hv后面接虚拟机名或Guid来启动调试。

Kernel Dump的方法

抓内核dump的方式很多,dump也有三种类型可供选择,

Small Memory Dump

Kernel Memory Dump

Complete Memory Dump

先来进行一些通用的配置。

确定抓取dump的类型,一般我实验只是演示查看,可以选择自动的方式。

确定dump文件写入的路径有足够的硬盘空间,dump的大小取决于dump的类型与内存使用量,如果选择自动的话你需要保证有比内存大小大的硬盘空间。

NotMyFault

这是最简单的方式,通过软件触发中断来生成dump文件。

下载NotMyFault工具http://download.sysinternals.com/files/NotMyFault.zip

运行命令行转到NotMyFault所在的路径下,运行命令NotMyFault.exe /crash

系统蓝屏,重启,dump就生成在你配置的路径下。默认为c:\windows\memory.dmp

键盘中断

如果你用ps/2键盘,修改注册表

找到以下注册表子项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters

添加以下注册表项:

Name :CrashOnCtrlScroll

Data Type: REG_DWORD

Value :1

如果使用 USB 键盘,必须创建 CrashOnCtrlScroll 注册表项。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters

添加以下注册表项:

Name :CrashOnCtrlScroll

Data Type: REG_DWORD

Value :1

接下来,按住右边ctrl键并且同时按两次scrolllock键,系统蓝屏重启,dump生成在配置目录下。

其他方式

http://support.microsoft.com/kb/972110/zh-cn

参考文档

http://msdn.microsoft.com/en-us/library/windows/hardware/ff553382(v=vs.85).aspx

http://support.microsoft.com/kb/311503

http://support.microsoft.com/kb/972110

http://support.microsoft.com/kb/969028

http://blogs.technet.com/b/markrussinovich/archive/2010/10/14/3360991.aspx

iteye_3606
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows内核调试器原理浅析
01-05 1399
前段时间忽然对内核调试器实现原来发生了兴趣,于是简单分析了一下当前windows下主流内核调试器原理,并模仿原理自己也写了个极其简单的调试器:)  WinDBG  WinDBG和用户调试器一点很大不同是内核调试器在一台机器上启动,通过串口调试另一个相联系的以Debug方式启动的系统,这个系统可以是虚拟机上的系统,也可以是另一台机器上的系统(这只是微软推荐和实现的方法,其实象SoftICE这类内核
DebugView-Windows内核调试工具
12-27
DebugView-Windows内核调试工具
Windows Kernel Way 1:Windows内核调试技术
weixin_30912051的博客
12-21 354
掌握Windows内核调试技术是学习与研究Windows内核的基础,调试Windows内核的方式大致分为两种: (1)通过Windbg工具在Windows系统运行之初连接到Windows内核,连接成功之后便可以调试,此时即可以调试Windows内核启动过程,又可以在Windows启动之后调试内核组件或应用程序。或使用Windbg的Kernel debugging of the loc...
Windows调试工具入门-3-WinDbg内核调试配置
eqera的专栏
11-30 5573
内核调试主要用来调试驱动代码、分析内核结构等。 WinDbg通过两台电脑可以实现内核调试,其中一台电脑运 行WinDbg,被称为主机;另外一台电脑运行被调试的程序或系统,被称为目标机。一般情况下两台电脑都是真实机 器,这样调试最符合实际情况,两台电脑通过串口线、 1394线或USB对联线连接起来实现双机内核调试。如果没 有 两台电脑,也可以用虚拟机来模拟目标机,主机上运行WinDbg ,虚拟
Windows内核分析——内核调试机制的实现(NtCreateDebugObject、DbgkpPostFakeProcessCreateMessages、DbgkpPostFakeThreadMes...
weixin_30622181的博客
03-31 476
本文主要分析内核中与调试相关的几个内核函数。 首先是NtCreateDebugObject函数,用于创建一个内核调试对象,分析程序可知,其实只是一层对ObCreateObject的封装,并初始化一些结构成员而已。 我后面会写一些与window对象管理方面的笔记,会分析到对象的创建过程。 来自WRK1.2 NTSTATUS NtCreateDebugObject ( OUT P...
Wince 内核调试实验
12-14
通过这个“Wince内核调试实验”,你可以掌握Windows CE内核调试的基本方法和技巧,这对于提升设备稳定性,优化系统性能,以及解决复杂问题至关重要。记得在实验过程中,耐心和细心是成功的关键,同时不断学习和实践...
Windows 内核之双机调试与windbg命令大全
玄道的网安博客
12-29 1034
在今后会有相当的实验环节,对于windows内核实验调试环境是必不可少的,本章讲解双机调试的环境搭建与常见的WINDBG指令。 准备材料: VMware workstation : [https://www.vmware.com/go/downloadworkstation-cn] windows 7 x64 ISO (请使用种子下载工具进行下载): [ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|34205573
Windows内核调试培训资料(windbg)(3)
05-05
### Windows内核调试培训资料(windbg)知识点详解 #### 一、Windbg环境配置 在进行Windows内核级别的调试之前,确保环境正确配置是非常重要的。以下步骤详细介绍了如何为Windbg调试做好准备: 1. **解压实验资料**...
Windows内核情景分析——采用开源代码ReactOS(下册).pdf
07-02
该项目的开发有助于研究Windows内核的具体实现方式,并且为开发者提供了一个学习和实验的平台。 ### ReactOS与Windows内核的相似之处 - **用户界面**: ReactOS实现了类似Windows的图形用户界面。 - **硬件兼容性**...
windows 内核调试工具 Windbg
03-16
windows平台下,用户态和内核调试工具 Windbg WIN7 64位系统可用,也可以用来分析dump数据,查内存泄漏
Window XP驱动开发(十九) windows内核高级调试技巧(双机调试
热门推荐
chenyujing1234的专栏
07-12 1万+
转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家拍砖! 在驱动程序的开发中,经常会遇到系统崩溃一情况,我们很难想像用VC的调试器那样单步调试程序。但还是有一些高级驱动程序调试技巧, 可以帮助找出驱动程序中的Bug。另外,利用一些第三方工具软件,也可以帮助程序员找到驱动程序中的漏洞,从而提高开发效率。 1、一般性调试 一般性调试技巧
[Windows]内核调试环境搭建
fa1c4的blog
01-20 751
前言 为了探索windows kernel fuzz, 从去年开始先是学了windows逆向基础, 然后花了9个月从零开始大致学了一遍linux pwn的各种漏洞利用技术(windows pwn还没怎么学, 不过原理基本差不多, 需要的技术需要的时候再现学叭), 最近看了一点windows驱动开发的技术栈(虽然也没怎么看懂), 现在可以开始研究研究windows内核的漏洞利用技术了, 同样从零开始, 这篇blog简单介绍windows内核调试环境的搭建. 环境搭建 如果参考0day书中的环境搭建方法, 过程
使用Virtual PC进行Windows内核调试的详细过程
小伟
08-09 1359
使用Virtual PC进行Windows内核调试的详细过程  使用WinDbg进行Windows内核调试通常需要两台计算机,一台是Debuggee,一台作为Debugger,又成为Host。使用Virtual PC可以在同一台电脑上进行内核调试,对于某些调试任务来说还是非常有用的。下面以Virtual PC 2004为例,介绍一下利用Virtual PC进行Windows内核调试的详细过程。
Windows内核调试:windbg双机实机联调总结
清风徜徉,悠闲品茶
02-20 1568
术语定义 主机端(Host):Debugger,用于控制调试的主控端。 目标端(Target):Debuggee,被控端、被调试端。 调试方式 在微软MSDN官网上,有详细记载着内核双机调试的所有方案: https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/setting-up-kernel-mode-...
windows内核调试模式的开启
08-27 2165
默认情况下,windows是不开启内核调试模式的。可以通过以下命令开启: bcdedit /debug ON 重启计算机器后windows内核就处于调试模式了; 在此模式下,有下安全性要求极高的软件是用不了的,如某些银行的网银系统。 我们可以通过bcdedit /debu
Windows windbg kernel debug 双机内核调试 - USB3.0 调试 USB调试 调试线
nethm的专栏
01-02 1258
0x1 使用USB3.0 调试线,进行windows双机内核调试 从win8开始,windows就引入了USB 3.0的内核调试 ,速度可以说爽的一批。不过能否支持USB3.0的调试,还需要看你的机器配置。 怎么知道知否支持USB3.0调试? Host端: 1 系统,WIN8以及以上 2Target机器带有xHCI 控制器,即USB3.0的接口 Target端: 1 系统,WIN8 以及以上 2Target机器带有xHCI 控制器,...
使用USB 3.0进行windbg调试
lixiangminghate的专栏
02-25 1927
转自:debug_master 1. 名词约定 目标机(target):被调试机器 主机(host):运行调试工具(windbg)的机器 2. 系统要求 1> USB 3.0调试线 特殊定制的USB 3.0 AM-AM线缆,淘宝可以直接买到 2> 操作系统 Windows 8 或 Windows Server 2012以上版本(主机,目标机) 3> 目标机 支持调试(参...
Windows内核系统调用分析
bcbobo21cn的专栏
05-10 727
系统调用 进程 ——> 调用OS API;OS进程管理 ——> 调配进程。 仅从用户进程角度,OS就像是一个被动响应的运行时库。Windows提供了一个系统调用界面作为外层,即Win32API;Linux的CRuntime库标准,Windows也支持。用户进程通过调用这些OS接口,可以部分操作系统内核。 硬件] 设备驱动] 核心层] 管理层] 系统服务界面,中断入口(不公开)] 系统DLL(公开)] ——>API 用户进程没有调用内核函数(特权指令)...
Windows内核实验:NDIS协议驱动程序解析
"该资源是一份关于Windows内核实验教程,特别关注NDIS协议驱动程序的实现。教程中包含C语言编写的NDIS协议驱动程序源代码,由四个主要的C源文件(packet.c, openclos.c, read.c, write.c)组成,并依赖于DDK(Driver...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值