开始进军ring0

最新推荐文章于 2021-11-27 16:36:54 发布
最新推荐文章于 2021-11-27 16:36:54 发布
阅读量777 收藏 1
点赞数
分类专栏: 技术知识库 XX驱动XX 文章标签: vmware microsoft 虚拟机 windows disk system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jizhongqing/article/details/4735318
版权

       决定来决定去还是避免不了ring0,做安全这行离不开这东西,硬着头皮上吧。。。

 

 环境配置:

1. 符号下载:这是很重要的一步,没有符号windbg产生的东西实在没法看

如果每次调试时由windbg自动下载太慢了,我的选择是利用windbg附带的一个工具symchk.exe一次性把所有系统文件的符号文件全部下载完!

 把下面的内容写入一个bat,省得忘记,每次都msdn

 

cd "C:/Program Files/Debugging Tools for Windows"
symchk /r c:/windows/system32 /s SRV*d:/xp_sp3_symbols/*http://msdl.microsoft.com/download/symbols

 

其中 c:/windows/system32 为要下载的符号文件对应的文件,我设置为下载system32下所有系统文件,symchk会遍历该文件夹下载所有文件的符号文件,当然非微软的东西肯定下载不到了

d:/xp_sp3_symbols/ 为符号文件要保存的位置

 

注意:这个应该下载虚拟机里的系统文件对应的符号,因为我系统和虚拟机里的系统一样,所以直接使用了主机的文件

          如果虚拟机里的系统和本机系统不一个版本,可以把虚拟机里的系统文件拷贝出来放到一个目录,然后修改bat内容:

比如:windbg安装目录默认安装,拷贝出来的虚拟机系统文件放到了目录 d:/vm_system32 ,把下载后的符号文件保存在d:/xp_sp3_symbols 那么bat内容如下

cd "C:/Program Files/Debugging Tools for Windows"
symchk /r d:/vm_system32 /s SRV*d:/xp_sp3_symbols/*http://msdl.microsoft.com/download/symbols

 

也可以直接设置虚拟机联网,直接在虚拟机里下载,下载完成后把符号文件拷贝出来

 

2. vm和windbg配置

这个可以google一下,为了避免连接失效和查找麻烦,我还是记在这里吧

转:

简介:

调试器中,SoftICE可以说是鼎鼎大名。而 Microsoft 的调试器 WinDbg 则有很多 SoftICE 不具备的非常有用的功能。对于从事 Windows 系统研究和驱动开发的人来说,WinDbg 实在是件上好的兵器,值得推荐。不过要想使用它并不是件容易的事,它需要有两台计算机,一台调试,一台被调试。这个条件对于大多数人来说是非常苛刻的。

今天我们介绍借助VMware实现单机使用WinDbg进行调试的方法。

VMware Support 中说,自 4.0.18.0 版本之后的 WinDbg 都支持了通过 pipe 来进行调试,不过微软对此并没有任何说明。所以,在VMware中虚拟被调试的系统,然后通过VMware虚拟一个com端口。使用这个虚拟的端口,就可以用 WinDbg 进行调试了。

具体步骤如下:

1 设置 VMware 的虚拟com

1.1 运行 VMware ,点击 "Edit virtual machine settings"

 
1.2 点击 "Add..." 来运行 VMware 的 Hardware Wizard
 
1.3 选择 "Serial Port",点 "下一步"

 
1.4 选择 "Output to named pipe",点 "下一步"
 
1.5 第一框里保持默认的 "//./pipe/com_1"
第二框里选"This end is the server."
第三框里选"The other end is an application."
选中 "Connect at power on"
然后点击 "Advanced>>"

 
1.6 选中 "Yield CPU on poll"(VMware Support 中提到了这一点),然后点完成。

 
1.7 这样就完成了虚拟com的设置。
 
1.8 重新启动一下。

2 设置 VMware 虚拟出来的 guest os

现在 power on 虚拟出来的 guest os

2.1 设置boot.ini

在c:/下,可以找到boot.ini,可以用记事本打开它。我们需要在 guest os 的启动项上加些参数,才能够使用WinDbg调试它。我们可以在现有的行后面直接加参数,不过强烈推荐复制一个新行,在新行的后面加参数。这样在调试启动有问题的时候,我们可以方便的换回原来的启动方式。下面就是我改好的boot.ini。
其中 " multi(0)disk(0)rdisk(0)partition(1)/WINNT="Microsoft Windows 2000 Professional" /fastdetect "
是原来的行。
" multi(0)disk(0)rdisk(0)partition(1)/WINNT="Microsoft Windows 2000 Professional - debug" /fastdetect /debug /debugport=com1 /baudrate=115200 " 是我新加的将来用于 WinDbg 调试的行。

------------------------------------------------------------------------------------------

[boot loader]
timeout=10
default=multi(0)disk(0)rdisk(0)partition(1)/WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)/WINNT="Microsoft Windows 2000 Professional" /fastdetect
multi(0)disk(0)rdisk(0)partition(1)/WINNT="Microsoft Windows 2000 Professional - debug" /fastdetect /debug /debugport=com1 /baudrate=115200

-------------------------------------------------------------------------------------------

这里还要注意的是,timeout不要为0,否则直接启动默认的项。新行后面加上了参数 /debug /debugport=com1 /baudrate=115200 ,可以看到 debugport=com1 ,baudrate=115200 。参数的具体作用,可以参考 WinDbg 的帮助文件。

 
2.2 设置com1端口的速度
在 guest os 的设备管理器中把com1端口的速度也就是"每秒位数"项,设为和上面一样的115200。

3 设置 WinDbg

我们需要告诉WinDbg通过pipe进行连接和连接的速度。可以在命令提示符(cmd.exe)下加参数
-k com:port=//./pipe/com_1,baud=11520, 运行WinDbg(VMware Support 中没有提到 baud=11520 这个参数,其实这是个比较重要的参数)更方便的方法是在桌面建立一个WinDbg的快捷方式,在该快捷方式的属性,"目标"框中,加上参数 -k com:port=//./pipe/com_1,baud=11520 这样运行这个快捷方式启动的WinDbg就完成了设置。参数的具体作用,可以参考 WinDbg 的帮助文件。

 
4 推荐的操作顺序

4.1 首先运行 VMware ,启动 Guest OS ,到系统启动选择,选择 "Microsoft Windows 2000 Professional - debug" 项,先不要按回车。

 
4.2 通过刚才设置好的快捷方式运行WinDbg。

4.3 在 Guest OS 中选择 "Microsoft Windows 2000 Professional - debug" 项,按回车。

4.4 稍等片刻,就连接上了。如果很长时间没有连接上的话,可以按 WinDbg 菜单中的 "Debug"->"Kernel Connection"->"Resynchronize"。
 
4.5 最后按 WinDbg 菜单中的 "Debug"->"Break" ,你就可以向 WinDbg 下命令了。

 
其他
5.1 VMware Support 中还提到了可以通过修改虚拟机的配置文件来改变虚拟串口的速度,有兴趣的话可以参考 VMware Support 中的方法。
5.2 WinDbg 的菜单项 "View"->"Show Version" 可以看到一些相关信息。

参考
Driver Debugging with WinDbg and VMWare  <http://silverstr.ufies.org/lotr0/windbg-vmware.html>
VMware Support 相关部分  <http://www.vmware.com/support/ws3/doc/ws32_devices3.html>

 

 

----------------------------------------------------------- 下面是我写的 ------------------------------------------------

大概步骤差不多,我自己实践的时候有点小麻烦:就是按上面说的推荐操作顺序操作windbg连不上

我的操作成功的顺序如下

4.1 中直接按回车,然后迅速 control + alt 退出虚拟机,再迅速双击启动前面说的windbg的快捷方式,最好在虚拟机里的系统还在黑屏的时候,滚动条还没出现,这时windbg还是显示没连接上,但你 control + break的时候已经可以断下来了,然后g继续让系统运行,这时滚动条就出来了,然后可以后面的驱动调试了。

其实除了4.1,剩下的步骤就差不多了,切换出虚拟机,运行windbg一定要快,如果等滚动条出现再运行windbg肯定就连不上了

还有一点: control + S 把windbg符号路径设置好,注意的是符号是虚拟机系统里的文件符号,因为是windbg调试虚拟机里的系统,不是调试主机(它没这个能力), 我主机和虚拟机一样的系统,所以不管这些了

 

   

jizhongqing
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinDBG从Ring3到Ring0跟踪CreateFileW的执行流程
sqzxwq的博客
09-03 2459
本次跟踪的系统版本: 调试机(宿主机):WIN7 64位旗舰版 目标机(虚拟机):WIN7 32位旗舰版 1、在虚拟机里打开一个记事本,然后Ctrl+Break中断操作系统 2、在WinDBG中输入!process 0 0 notepad.exe查看记事本进程信息 3、在WinDBG中输入.process /i /p 进程内核对象地址,在本例中则应该输入.pr
让程序进入ring0级执行
热门推荐
尹成的技术博客
06-08 1万+
 在保护模式下,ring0有至高无上的权限,他一直是很多黑客程序员追求的目标,在NT平台上,MS对系统表格作了保护,不能在象win9x那样,去直接修改系统表格,但是还是有不少办法能够进入ring0的,例如,在国内,最早sinister利用编写驱动程序的方法进入ring0,这也是最通用的方法了,紧跟着WebCrazy又使用读写物理内存的方法来读写GDT所在的物理内存,在GDT上生成自己的调用门来随意
64位内核开发第六讲,Windbg调试ring3跟Ring0.一起调试
weixin_30244681的博客
06-08 228
目录 驱动第六讲_Windbg连续调试Ring3.与Ring0 一丶Windbg连调试 驱动第六讲_Windbg连续调试Ring3.与Ring0 一丶Windbg连调试 有时候我们调试一个程序.可以使用Windbg.但是如果我们想一个Windbg 调试一个Ring3.并且在调试一个...
ring0内核调试器hyperdbg
08-10
一个和softice,windbg类似的ring0级的调试器
ring3进入ring0跟踪调试
04-11
ring3进入ring0跟踪调试
RING3到RING0的函数跟踪
weixin_33951761的博客
05-27 266
前两天面试,一位面试官老师提到了RING3到RING0的跟踪,自己以前是windbg跟踪过一次,想着再用OD跟踪一下 就在当复习一下,当时答面试官哥哥进R0是哪个函数的时候,竟然想不起来,只知道说是Ki开头的那个函数,真是汗颜,不珍惜机会啊 好好记住吧 OD加载咱们的notepad 下断点到CreateFileW,迷惑于是CreateFileW还是CreateFileA可以用PEID看一下,...
SSDT.rar_ring0_ssdt
09-19
在x86架构的CPU中,内存访问权限被分为四个不同的环(Ring):Ring0、Ring1、Ring2和Ring3,其中Ring0拥有最高的权限,通常被称为内核模式。在这个模式下,代码可以执行任何操作,包括直接访问硬件、修改系统设置和...
ring0内核程序和ring3程序的区别
最新发布
10-31
ring0 ring3程序的区别
易语言无驱动进入ring0
08-21
易语言无驱动进入ring0源码系统结构:读取cr0,操作数据,写物理内存,读物理内存,查看字节集,提升进程权限,查看字节集2,到十六进制文本,RtlAdjustPrivilege,NtSystemDebugControl,SetProcessAffinityMask,
任意用户模式下执行 ring 0 代码.rar_ring_ring 0
09-21
在计算机系统中,Ring 0 是操作系统的内核态,拥有最高的权限级别,它能够访问所有的硬件资源并执行任何操作。通常,用户模式的应用程序是不允许直接运行在 Ring 0 的,因为这样可能会引发安全问题,如数据破坏、...
WinRing0 GPIO IO 详解——Windows平台
保持一颗敬畏之心,简单地调用C++,适当地向C++妥协,让以后的自己看懂代码,让别人看懂代码。
11-27 9266
WinRing0 GPIO 由于工作的需求,需要做一个工控机的GPIO的输出,也就不可避免的接触到WinRing IO了。基本上要控制这种通用型的GPIO,有两种方式,一种是winRing0,一种就是WinIO了。但由于WinIO需要让系统进行windows签名模式,这就比较烦人了。但关于WinIO我之前也有一个项目设计到了,我也稍微记录了一下,大家如果感兴趣,可以去看看,地址为[最新WinIO驱动测试GPIO口](https://blog.csdn.net/weixin_
用windbg内核模式调试用户态程序
lwglucky的专栏
03-24 5482
  windbg 如何再内核模式调试用户空间的程序 收藏 1:使用!process 0 0 获取用户空间的所有的进程的信息 !process 0 0 **** NT ACTIVE PROCESS DUMP ****     PROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid: 0000     DirBase: 0000
4.逆向分析CloseHandle进Ring0完整过程
Mikasys的博客
11-04 331
一、 内容回顾 在上一节课中,我们讲到进0环后,3环的各种寄存器都会保留到 _Trap_Frame结构体中,这节课我们来讲解: 如何根据系统服务号(eax中存储)找到要执行的内核函数? 2种调用方式是如何返回到3环的? 二、SystemServiceTable 系统服务表 typedef struct _SERVICE_DESCRIPTOR_TABLE { PULONG ServiceTableBase;//SSDT的起始地址 PULONG ServiceCounterTableBase;//被访问了
总结进入RING0的方法
01-24 1395
关于进入RING0层的方法,大家一定听说过不少,我在复习保护模式编程中将一些进RING0的方法;总结了一下,包括调用门,任务门,中断门,陷阱门等,这些方法都是直接利用IA32的方法,所以和操作系统应该没有多大关系,当然由于NT内核对GDT,IDT,的保护所以我们不能用这些方法,不过如果一旦突破了NT的保护,那么所有的方法就都可以使用了,其他的还有SEH等方法,我在前面的文章中也有介绍。 ---
windbg学习---!process
weixin_30408165的博客
03-02 524
!process 0 0 显示进程列表: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 825b7830 SessionId: none Cid: 0004 Peb: 00000000 ParentCid: 0000 DirBase: 02b40020 ObjectTable: e1003e...
跟踪 Ring3 - Ring0 的执行流程
11:00 啦
08-22 3402
理论知识SYSENTER 指令是在 Inter Pentium(R) Ⅱ 处理器上作为“快速系统调用”功能的一部分被首次引用的。 SYSENTER 指令进行过专门的优化,能够以最佳性能由 Ring3 层切换到 Ring0 层。 微软首次引用 SYSENTER 指令是在 Windows 2000 的系统上,再次之前微软的系统是通过自陷指令 int 0x2E 进入 Ring0 层的系统空间的。 在
Ring3转入Ring0跟踪
曾是土木人
06-26 3005
通过反汇编跟踪一个API函数从Ring3层到Ring0层的具体执行过程,有助于我们加深对相关内核Hook技术的理解。 我们可以使用OD打开notepad.exe程序,对CreateFileW下断后,可以发现,有这样一行代码: CALL DWORD PTR DS:[>; ntdll.ZwCreateFile 也就是说,CreateFileW(Win32API)实际上是调用了ntdll中的NtC
Ring的权限提升21大法!
蓝法典的专栏
03-16 1397
作者:Nah 文章来源:http://blog.77169.com/more.asp?name=atan19a&id=6866以下全部是本人提权时候的总结 很多方法至今没有机会试验也没有成功,但是我是的确看见别人成功过的。本人不才,除了第一种方法自己研究的,其他的都是别人的经验总结。希望对朋友有帮助!1.radmin连接法条件是你权限够大,对方连防火墙也没有。封装个radmin上去,运行,开对方端
3.windbg-!pte转换地址(ring0)
hgy413的专栏
04-04 2154
1.取得DirBase kd> !process 0 0 test.exe PROCESS 89ed6170 SessionId: 0 Cid: 0558 Peb: 7ffd9000 ParentCid: 0744 DirBase: 0a7c0340 ObjectTable: e1e6b5a8 HandleCount: 15. Image: test.exe 2. 切换到
SSDTHOOK技术的Windows Ring0进程保护组件设计与实现
本文主要探讨了在Windows环境下,如何利用SSDTHook技术(System Service Descriptor Table Hook)实现Ring0进程保护组件的设计与实现。Ring0级别意味着该组件具有对系统服务的直接访问权限,通常用于驱动程序开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值