【原创】以虚御虚-用虚拟机调试vt程式

最新推荐文章于 2017-05-02 21:39:44 发布
最新推荐文章于 2017-05-02 21:39:44 发布
阅读量1.9k 收藏
点赞数
分类专栏: Rootkit 驱动开发设计 游戏分析逆向 资料文档 逆向分析 文章标签: 虚拟机 vmware 磁盘 工作 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/osreact/article/details/7738612
版权
Intel vt技术十分诱人,但是如何调试vt程式却是让人头疼,让钱包心痛的问题,在走了各种弯路后,终于摸索出一套简单易懂又省钱的vt调试方法。如果你有比我更好的方法请第一个告诉我哟!!!

准备工作:
首先你需要安装以下程式:
1. vmware(版本6.0-7.1)
2. ida(不一定用得到)
3. windbg(也不一定用得到)
4. 自行编译一份带vt的bochs(版本2.4.1-2.4.6,2.4.1中vmx有些部分没实现推荐用2.4.5以上版本)


然后你需要安装一下操作系统,因为bochs装系统太慢,所以我们这里用vmware生成一个磁盘文件并安装好系统给bochs用。以后也能利用vmware把文件放入虚拟机中的硬盘。

创建虚拟机的关键步骤:

名称: 32de60ea10c61c63b90e2d91.jpg 查看次数: 1683 文件大小: 38.7 KB

在选择创建硬盘的时候要选择“直接分配所有磁盘空间”

在创建后会有以下两个文件

名称: d34fe109401f8162b0351d91.jpg 查看次数: 1671 文件大小: 6.5 KB

其中xxx.vmdk比较小存储了硬盘描述信息,其中的信息之后会在bochs中用到。xxx-flat.vmdk为硬盘数据bochs也能使用。

在生成完后你需要安装一个操作系统,这里我使用的是xp sp3。

(注:在vmware安装操作系统的时候,尽量使用原版和纯净版减少神奇的意外发生。)

 

打开xxx.vmdk查看“# The Disk Data Base”这节

记录下以下信息:

ddb.geometry.cylinders = "8322"

ddb.geometry.heads = "16"

ddb.geometry.sectors = "63"

 

打开bochs将这些信息填入:

名称: 0d35221588ea721621a4e993.jpg 查看次数: 1684 文件大小: 41.2 KB

好了这样bochs和vmware就能共用一个磁盘文件了。

在设置完后启动bochs时也有一个地方需要注意:

名称: 2b20911c79e310a9e1fe0b9c.jpg 查看次数: 1676 文件大小: 30.8 KB

因为vmware生成的磁盘文件的cylinders 不一定是512的倍数,bochs会因为这个问题而发出磁盘大小不匹配的警告,但其实是可以用的这里直接continue就行了。


完成准备工作后接下来你可以有两种选择(有钱人才有的选啊):

 

1.  你拥有ida5.7及以上版本且使用bochs2.4.5(或者你拥有ida5.5且使用bochs2.4.1)

名称: b51f03da21196a7010df9b9d.jpg 查看次数: 1669 文件大小: 33.6 KB

直接使用ida中自带的bochs调试功能连接你编译好的bochs进行调试,轻松方便。(有钱真好,羡慕嫉妒恨啊!)

 

2.  想用bochs2.4.5但没有ida5.7或以上版本

使用windbg做为辅助进行调试,配合程式的com输出的信息,在bochs中下断点调试。

名称: d34fe10940148162b0351d9e.jpg 查看次数: 1673 文件大小: 45.3 KB

Windbg的设置和用vmware调试的时候完全一样,如果你以前设置过直接就可以用了。

 

一些符号和地址可以由windbg和com输出获得然后再bochs中下断点进行调试。虽然步骤比有ida的同学麻烦点,但是买ida的钱是省下来了。

名称: 3d45c71df71dc04340341798.jpg 查看次数: 1674 文件大小: 83.1 KB

上图为bochs中自带的调试界面,可以在这里下断点。

名称: 90e0d83baa9f729ed4622599.jpg 查看次数: 1672 文件大小: 51.1 KB

在命令行窗口可以看见系统退出vt的原因。

至此vt的调试环境就搭建好了,勇敢的少年啊快去调试vt!!!
OSReact
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VT拟化技术,VT驱动调试器,自建调试体系,反反调试技术,内核驱动,VT过保护,VT源代码
04-27
vt框架使用的airhv,增加了自建调试体系部分 ept hook. 无痕int3. 自建调试体系隐藏debugport. 支持pdb符号自动下载,省去寻找特征码步骤,轻松兼容不同系统版本. 5.zip文件是编译好的成品 支持平台 win10 x64 intel architecture cpu. 环境:vs2019 driver sdk 19041,kernelModeDriver10.0 有需要学习的朋友可以下载来看看,里面有VT完整的安装框架代码,以及用户层MFC工具源代码,中文备注,很多学习vt的朋友可能都没有完整的64位系统的VT完整框架的代码,所以学习的朋友可以下载来看看,有编译好的,也可以自行编译修改,祝大家学习愉快。
Intel VT学习笔记(五)—— 调试技巧
qq_41988448的博客
02-11 1304
Intel VT学习笔记(五)—— 调试技巧要点回顾INT 3失效调试技巧参考资料 要点回顾 在上一篇中,我们主要学习了如何填写Guest state fields的各项字段,以及如何对错误码进行排查,并最终成功执行了Guest代码。 在GuestEntry中,我们通过执行VMCALL指令触发VM-Exit,而没有用INT 3指令直接中断,其中是有原因的。 在本篇,我们将解释为什么没有在GuestEntry中使用INT 3中断,以及相关的调试技巧。 INT 3失效 将GuestEntry修改为以下代码: v
关于滴水的VT调试
whatday的专栏
04-06 7134
关于滴水的VT调试器 by 海风月影 论坛上今天吵的比较火热,主要是关于滴水的VT调试器,很多人不了解这个东西,我对Intel的VT技术略有了解,所以我来简单的介绍一下。 第一,什么是VT技术 VT是Intel的硬件拟化技术,说到VT,就不得不提虚拟机(例如VMWare)。在硬件还没有支持VT前,系统级的虚拟机其实是很难做的,要考虑的 东西非常多(主要是效率问题,因为用软件模拟
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
使用虚拟机备份软件恢复Microsoft Hyper-V 虚拟机
03-11
Microsoft Hyper-V 虚拟机恢复步骤详解
使用虚拟机备份软件备份Microsoft Hyper-V 虚拟机
03-11
Microsoft Hyper-V 虚拟机备份步骤详解
用WIN10的Hyper-V虚拟机安装安卓手机android平板模拟器固件:android-x86-64-9.0-r2
05-13
如果你不想在自己的电脑系统上安装乱七八糟的模拟器,那就直接用WIN10自带的Hyper-V虚拟机安装这个固件就行,里面除了谷歌三件套和超级终端这些必须有的APP,就没其它的了,装完就是已经ROOT过的状态,不想玩的时候...
window-vmware-linux 虚拟机搭建
12-21
window-vmware-linux 虚拟机搭建及网络配置,亲测可用
Hyper-V虚拟机不能上网问题的解决方法
09-30
主要介绍了Hyper-V虚拟机不能上网问题的解决方法,需要的朋友可以参考下
2.VT调试器之无限硬件断点.rar
10-20
VT调试器来代替传统的OD调试
5.为什么用VT调试器来代替OD调试器1.rar
10-20
利用先进的VT调试器来代替传统的OD调试器。
VT调试器 X64
落笔飞花笑百生的博客
12-30 7673
想了很久还是发上来吧,烂在硬盘里面没用,共享既是进步~ 前排感谢在我学习Intel-VT技术困难的时候各位朋友的帮助 Tesla.Angela 有人吗? cvcvxk viphack sxpp Kalong 以及国外友人asamy 以上排名不分先后 这份代码在WIN7 64 打了补丁的情况下能正常工作 不打补丁需要对THREAD的结构体做个修改 才可以正常运行 代码部分: 这
利用Intel VT实现进程保护
andy7002的博客
05-02 8878
Intel VT即Intel公司的Virtualization Technology拟化技术, 在硬件级别上完成计算机的拟化。为实现硬件拟化 ,VT增加了12条新的 VMX指令。VT可以让一个CPU工作起来像多个CPU在并行运行,从而使得在一部电脑内同时运行多个操作系统成为可能。在安全领域,利用VT技术,64位系统的防护可以做到跟32位同级别的强度。 一、vt调试方法 1. 修改vmx文
VMware中的虚拟机开启VT,支持KVM
热门推荐
liulove_micky的专栏
09-10 3万+
VMware安装centos 6.5虚拟机,无法支持KVM拟化,后发现未开启VT。     关闭虚拟机,打开虚拟机设置,VT开启操作如下 开启虚拟机,通过 grep -E ‘vmx|svm' /proc/cpuinfo查看是否支持kvm 显示如图,说明成功支持KVM拟化
Intel VT入门
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
01-17 5370
运行环境 操作系统: windows XP  CPU : intel i3-390M  状态: 单核运行 驱动没有卸载部分,测试前请先保存好文档.在 boot.ini 文件中添加 /numproc=1,重启 传说中的VT貌似很神秘的样子,关于VT入门的资料又很少,于是研究了一番 由于资源有限,自身水平亦有限,并且是闭门造车之作,如有错误的地方请指正,不胜感激! 关于V
让天之痕窗口化运行!
OSReact的专栏
07-12 5956
说明:游戏版本是简体中文2.02版,其它版本估计部分地址不完全一样,仅作参考。      这个游戏比较古老了,用的DirectDraw来绘制2D图像,在创建DirectDraw对象之后,调用SetCooperativeLevel函数来确定是否全屏显示。但是SetCooperativeLevel这个函数没有在DDRAW.DLL的输出表里面,直接下断点找不到,只能对DirectDrawCreate
hyper-v 虚拟机 IP
最新发布
07-13
在 Hyper-V 虚拟机中获取 IP 地址的方法取决于操作系统的类型。以下是一些常见操作系统的获取 IP 地址的方法: 1. Windows 操作系统: - 在虚拟机中打开命令提示符(CMD)。 - 输入命令 `ipconfig` 并按下回车键。 - 在输出中查找以太网适配器或无线局域网适配器的 IPv4 地址,通常以 "IPv4 地址" 或 "IP 地址" 开头。 2. Linux 操作系统: - 在虚拟机中打开终端。 - 输入命令 `ifconfig` 或 `ip addr show` 并按下回车键。 - 在输出中查找以太网适配器或无线局域网适配器的 IPv4 地址,通常以 "inet" 开头。 3. macOS 操作系统: - 在虚拟机中打开终端。 - 输入命令 `ifconfig` 并按下回车键。 - 在输出中查找以太网适配器或无线局域网适配器的 IPv4 地址,通常以 "inet" 开头。 注意:以上方法只是常见的获取 IP 地址的方式,在特定的网络设置或虚拟机配置中可能会有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值