使用windbg进行内核调试

1.因为内核调试涉及到的是windows系统，所以只能在windows上运行，首先安装xp虚拟机；

2.然后配置boot.ini文件，由于boot.ini文件在xp系统中是被隐藏的，所以需要先取消xp的隐藏文件夹选项，具体步骤：

1）打开的“我的电脑选项”->选择“工具”中的“文件夹选项”

2）打开之后选择“查看”，勾选“显示所有文件和文件夹”

之后就可以在c盘根目录下找到boot.ini文件，或者直接在运行中输入C:\boot.ini直接打开文件：

3.在对boot.ini文件进行修改之前，最好先做好系统快照，以防等下系统无法启动。打开文件进行修改：

4.设置VMware,在虚拟机操系统和宿主操作系统之间建立一个虚拟连接，为此，我们在VMware上添加一个新的设备来使用宿主系统中的一个命名管道上的串口，以下是添加设备的步骤：

1）单击VM->Settings,然后会弹出VMware设置对话框;

2)在VMware设置对话框中，单击右下角的Add按钮；在弹出的设备类型选择窗口中选择Serial Port，然后单击下一步；在请求串口类型的对话框中，选择Output to Named Pipe，然后单击下一步；在接下来的窗口中，输入\\.\pipe\cpm_1对管道进行命名，然后选择This end is the server和The other end is an application ，当完成串口的添加后

5.完成虚拟机的配置后启动虚拟机，在宿主操作系统中，使用下列步骤使WinDbg连接虚拟机并开始内核调试

1）启动WinDbg,选择File->Kernel Debug ，单击COM标签，然后输入文件名和先前在boot.ini文件中设置的波特率，本例设置115200，单击ok按钮前确认选中了Pipe复选框，设置如下：

2）这个时候开启虚拟机，进入如下界面进行选择：

接下来一直出现这个问题，尝试很多办法都无法解决：

暂时写到这里，明天继续

继续更新，尝试了很多方法之后，今天就又莫名其妙的连接上了，最主要的问题就是虚拟机中新建的命名管道是管道2，所以在修改boot.ini文件的时候需要将原先的COM1改为COM2（网上有这个方法的详细说明，所以不再赘述），连接成功之后结果如下：

由于这里连接情况显示的不是很全，所以使用详细的图片来讲解

之后我们以恶意代码实战中的一个内核病毒来实践：
准备好调试器之后，开始准备运行这个病毒，