Windows内核调试初探

最新推荐文章于 2024-07-11 00:41:54 发布
最新推荐文章于 2024-07-11 00:41:54 发布
阅读量2k 收藏
点赞数
分类专栏: 日志 文章标签: windows 内核 调试 windbg 虚拟机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010350434/article/details/83146874
版权

本文将对Windows平台下的内核调试进行简单探讨

1. 准备和设置虚拟机

为了进行内核调试,我们准备一个虚拟机(此处为Win7 x64)。
在 VMVare 中进入该虚拟机的设置,在硬件中添加 串行端口(选择使用命名的管道 “\.\pipe\com_1”)
此处必须确保硬件下有 “串行端口” 项,而不是 “串行端口 2” (若为 “串行端口 2”,将打印机和该端口删除,重新添加 串行端口)

2. 命令行调起Windbg连接虚拟机进行调试

进入windbg.exe目录
C:\Program Files (x86)\Debugging Tools for Windows (x86)>
C:\Program Files (x86)\Debugging Tools for Windows (x86)>windbg -k com:pipe,port=\.\pipe\com_1
当调起windbg.exe并且出现 Kernel Debugger connection established. 提示时,可以按Ctrl+Break,此时可以暂且认为是Windows系统的最早的内核调试起点,有兴趣可以解 Phare One 过程(http://www.theitcareer.com/site/?p=28)

3.1 查看记事本信息

在虚拟机上打开记事本(notepad.exe),点击 帮助->关于记事本

3.2 在 windbg 中观察这一过程

在 Windbg 中 Break(Ctrl+Break)
此时要加载microsoft的符号(详见之前的介绍文章 WinDbg工具)
Ctrl+S
srvf:\mysymbolshttp://msdl.microsoft.com/download/symbols;cache*f:\mysymbols

3.2.1 找出记事本进程

枚举所有进程,在 windbg 中输入以下语句

!process 0 0

结果截取一部分如下:

PROCESS fffffa801a8b1b30
SessionId: 1 Cid: 025c Peb: fffdf000 ParentCid: 0b28
DirBase: 47098000 ObjectTable: 00000000 HandleCount: 0.
Image: et.exe
PROCESS fffffa801abaf130
SessionId: 1 Cid: 062c Peb: 7efdf000 ParentCid: 025c
DirBase: 3eeb3000 ObjectTable: fffff8a001fd62c0 HandleCount: 6.
Image: kcrashdumper.exe
PROCESS fffffa801abf5530
SessionId: 1 Cid: 0980 Peb: 7efdf000 ParentCid: 04d0
DirBase: 39fb5000 ObjectTable: fffff8a0025eca40 HandleCount: 68.
Image: notepad.exe
PROCESS fffffa8018e3c890
SessionId: 1 Cid: 08d0 Peb: 7fffffdc000 ParentCid: 03b8
DirBase: 385e7000 ObjectTable: fffff8a002d1e2e0 HandleCount: 82.
Image: taskeng.exe

找出记事本进程的地址,这里我们看到是 0xfffffa801abf5530(注意前面的0x也是需要的),此处为方便,该地址记为

AOTP(address_of_target_process)

(内核里的地址要比之前我们看到的长很多呢,内核这边地址均高于 fffff800 00000000)

3.2.2 将记事本进程放到内存中

因为操作系统会将不常用的东西放在虚拟内存中,而将常用的部分放在内存,CPU无法对虚拟内存的东西进行直接访问

输入以下命令将进程内容放回到内存中(AOTP见上文):

.process /p AOTP

结果如下:

Implicit process is now fffffa80`1abf5530
.cache forcedecodeuser done

查看记事本进程的堆栈及其它信息
输入以下命令:

!process AOTP

结果如下:

PROCESS fffffa801abf5530
SessionId: 1 Cid: 0980 Peb: 7efdf000 ParentCid: 04d0
DirBase: 39fb5000 ObjectTable: fffff8a0025eca40 HandleCount: 68.
Image: notepad.exe
VadRoot fffffa801a8418f0 Vads 75 Clone 0 Private 277. Modified 2. Locked 0.
DeviceMap fffff8a0038661e0
Token fffff8a002536060
ElapsedTime 02:57:21.333
UserTime 00:00:00.000
KernelTime 00:00:00.000
QuotaPoolUsage[PagedPool] 0
QuotaPoolUsage[NonPagedPool] 0
Working Set Sizes (now,min,max) (2292, 50, 345) (9168KB, 200KB, 1380KB)
PeakWorkingSetSize 2293
VirtualSize 83 Mb
PeakVirtualSize 83 Mb
PageFaultCount 2473
MemoryPriority BACKGROUND
BasePriority 8
CommitCharge 352
.
THREAD fffffa801abf17a0 Cid 0980.0520 Teb: 000000007efdb000 Win32Thread: fffff900c2c8dc30 WAIT: (WrUserRequest) UserMode Non-Alertable
fffffa801a8442e0 SynchronizationEvent
Not impersonating
DeviceMap fffff8a0038661e0
Owning Process fffffa801abf5530 Image: notepad.exe
Attached Process N/A Image: N/A
Wait Start TickCount 82166 Ticks: 2 (0:00:00:00.031)
Context Switch Count 17053 LargeStack
UserTime 00:00:00.000
KernelTime 00:00:00.156
Win32 Start Address 0x0000000000c73689
Stack Init fffff88003912c70 Current fffff88003912730
Base fffff88003913000 Limit fffff88003909000 Call 0
Priority 12 BasePriority 8 UnusualBoost 0 ForegroundBoost 2 IoPriority 2 PagePriority 5
Child-SP RetAddr : Args to Child : Call Site
fffff88003912770 fffff80003eea992 : fffff900c0842f30 fffffa801abf17a0 0000000000001101 0000000000000008 : nt!KiSwapContext+0x7a
fffff880039128b0 fffff80003eed1af : 0000000000000000 000000007efdb000 fffff88000000000 0000000000000000 : nt!KiCommitThreadWait+0x1d2
fffff88003912940 fffff960000db837 : fffff900c2c8dc00 000000000000000d 0000000001040001 fffff96000066500 : nt!KeWaitForSingleObject+0x19f
fffff880039129e0 fffff960000db8d1 : 0000000000000000 0000000000000000 0000000000000001 0000000000000000 : win32k!xxxRealSleepThread+0x257
fffff88003912a80 fffff960000ee4d2 : 0000000075f6f5be fffff88003912b60 fffff960000ee48c fffff960000ee48c : win32k!xxxSleepThread+0x59
fffff88003912ab0 fffff80003ee48d3 : fffffa801abf17a0 0000000000000000 000000000033fb90 0000000000000020 : win32k!NtUserWaitMessage+0x46
fffff88003912ae0 0000000074e52e09 : 0000000074e52dbf 0000000075f50735 0000000074ec0023 0000000000000246 : nt!KiSystemServiceCopyEnd+0x13 (TrapFrame @ fffff88003912ae0) 000000000022e4a8 0000000074e52dbf : 0000000075f50735 0000000074ec0023 0000000000000246 000000000012f980 : 0x74e52e09 000000000022e4b0 0000000075f50735 : 0000000074ec0023 0000000000000246 000000000012f980 000000000022002b : 0x74e52dbf 000000000022e4b8 0000000074ec0023 : 0000000000000246 000000000012f980 000000000022002b 0000000000390008 : 0x75f50735 000000000022e4c0 0000000000000246 : 000000000012f980 000000000022002b 0000000000390008 0000000000000000 : 0x74ec0023 000000000022e4c8 000000000012f980 : 000000000022002b 0000000000390008 0000000000000000 0000000000000000 : 0x246 000000000022e4d0 000000000022002b : 0000000000390008 0000000000000000 0000000000000000 000000000012fa68 : 0x12f980 000000000022e4d8 0000000000390008 : 0000000000000000 0000000000000000 000000000012fa68 0000000000000030 : 0x22002b 000000000022e4e0 0000000000000000 : 0000000000000000 000000000012fa68 0000000000000030 00000000`00000000 : 0x390008

注意观察以下两行

fffff88003912ae0 0000000074e52e09 : 0000000074e52dbf 0000000075f50735 0000000074ec0023 0000000000000246 : nt!KiSystemServiceCopyEnd+0x13 (TrapFrame @ fffff88003912ae0) 000000000022e4a8 0000000074e52dbf : 0000000075f50735 0000000074ec0023 0000000000000246 00000000`0012f980 : 0x74e52e09

这里是从用户态的代码转至内核态的代码,这里用户态的看不到是因为我们没有加载记事本的 pdb。

4. 结语

至此,我们只是简单的看了一下记事本的部分堆栈,算是内核调试的一个小开端。若我们有记事本的pdb,就可以很自然地下断点,开始内核模式下的用户态调试了。

北魏的小Eif
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
再探内核调试--如何在内核调试下对用户态进程下断点
Eif的专栏
10-18 821
本文将对Windows平台下的内核调试中,对我们想要调试的用户态进程进行下断点等探索 1. 准备工作 见初探 2. 对调试目标程序下断点 我们在初探中已经提到对记事本进程进行观察的方法,这里我们将尝试对自己的进程下断点。在初探中,我们已经能看到了记事本的堆栈,在进行了.process操作之后,是不是就可以像普通调试一样下断点呢? 2.1 下断点之前的一些操作 windbg连接成功后,首先会...
DebugView-Windows内核调试工具
12-27
DebugView-Windows内核调试工具
调试windows内核
eqera的专栏
07-03 2573
1.首先下载windbg这个工具包含在wdk可以到微软官方网站免费下载 2 设置windows xp调试   打开系统安装盘,在文件夹选项中设置为显示所有文件,不隐藏系统保护的文件,然后就可以看到一个boot.ini文件       boot.ini 的文件内容一般如下                                       [boot  loader]
内核调试方法
最新发布
SSS
07-11 1000
会接管所有的线程,如果你从一个线程切换到另外一个线程, gdb 会马上把原先的线程暂停。一般用 gdb 进行多线程调试,需要注意两个参数: follow-fork-mode 和detach-on-fork。但是在wsl2上尝试全部成功。这步是在编译内核之后进行的,因为有些特性需要在内核编译时就指定,比如kgdb。可以使用串口连接,或者使用socat实现远程gdb连接kgdb,另外还有agent-proxy小工具可用。在用 gdb 来调试内核的时候,由于内核在初始化的时候,会创建很多子线程。
Windows操作系统的内核调试方法
痞子龙3D编程
03-12 2386
         当我们想要调试操作系统时,可以修改操作系统启动参数,方法有二,一是在系统启动时F8下,选择调试模式,二是,在启动后,修改启动配置参数。Windows xp /2003 使用 boot.ini 存储启动参数,Windows Vista / 7使用BCD存储启动参数。           对于Windows xp /2003 我们可以直接修改boot.ini 添加调试参数,也可以使用bootcfg /debug 命令添加,如下图:         对于调试远程内核,我们可能要使用串口,在boo
Windows内核调试器 - 简介
allenwangdiy的博客
03-24 2671
转自 : 点击打开链接 Windows内核调试器 - 原理 WinDbg          WinDBG和用户调试器一点很大不同是内核调试器在一台机器上启动,通过串口调试另一个相联系的以Debug方式启动的系统,这个系统可以是虚拟机上的系统,也可以是另一台机器上的系统(这只是微软推荐和实现的方法,其实象SoftIce这类内核调试器可以实现单机调试)。很多人认为主要功能都是在Wi
羽夏看Win系统内核——调试
cmdos的专栏
03-01 152
写在前面  此系列是本人一个字一个字码出来的,包括示例和实验截图。由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新。 如有好的建议,欢迎反馈。码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作。如想转载,请把我的转载信息附在文章后面,并声明我的个人信息和本人博客地址即可,但必须事先通知我。你如果是从中间插过来看的,请仔细阅读 羽夏看Win系统内核——简述 ,方便学习本教程。  看此教程之前,问几个问题,基础知识储备好了吗?保护模式篇学会了吗?异常篇
嵌入式系统/ARM技术中的初探WindowsCE异常和中断服务程序
10-23
在嵌入式系统和ARM技术领域,Windows CE操作系统在处理异常和中断服务程序方面具有特定的机制。本文主要探讨了Windows CE中ARM...理解这些概念对于开发和调试嵌入式系统以及ARM平台上的Windows CE应用程序至关重要。
初探WINDOWS下IME编程》配套源代码
02-09
初探WINDOWS下IME编程》是一本专注于探讨如何在Windows操作系统环境下进行输入法(IME,Input Method Editor)开发的专业书籍。IME是操作系统中一个至关重要的组件,它负责处理用户输入,特别是对于非拉丁字符集的...
初探Android初探Android.doc
07-08
Android是谷歌公司与2007年11月5日推出的开放手机软硬件平台,它是一个基于Linux内核的操作系统,旨在打造一个开放且统一的移动设备生态系统。开放手持装置联盟(Open Handset Alliance)由包括摩托罗拉、宏达电、...
记录一下-Windows内核会话和内核调试引擎
allenwangdiy的博客
03-25 840
Windows启动内核调试后,主要做了以下几个工作 1.  建立连接 2.  调试器读取目标系统信息,初始化调试引擎(目标机)。 3.  内核调试引擎通过状态变化信息包通知调试器加载初始模块的调试符号(目标机)。 4.  调试器端发送中断包,将目标系统中断到调试器,交互调试后又恢复执行的过程。 5.  因断点命中,目标系统中断到调试器的过程。 6.  内核中的模块输出调试字符串(D
windows 内核调试工具 Windbg
03-16
windows平台下,用户态和内核调试工具 Windbg WIN7 64位系统可用,也可以用来分析dump数据,查内存泄漏
windows 驱动与内核调试 学习
不会写代码的丝丽
10-15 2404
一般驱动需要运行内核权限下运行(因为涉及硬件读取),比如Intel下的ring 0权限下。在windwos大量病毒和杀软为了特殊目的往往都是通过将自身升级为内核驱动方式进行运作。如果病毒程序首先进入ring 0理论上可以杀软将毫无作用。微软为了扼杀此类程序在windwo7 64位系统上会强制校验驱动程序签名,如果签名非微软认可将不会被加载。微软官方驱动学习指南。
读书笔记_windows内核调试_part2_ 多核启动过程
wodamazi
10-11 173
多核启动过程 下面我们看多核处理器的启动过程,在part 1中介绍过每个CPU都会执行KiInitializeKernel函数,但只有第一个CPU才执行其中的所有初始化工作,包括全局的初始化,其他CPU只执行CPU的相关的部分。0号CPU才调用和执行KiInitSystem,初始化Idle进程的工作也只有0号CPU执行,因为只需要一个Idle进程。但是由于每个CPU都需要一个Idle线程,因此每...
windows系统内核调试 环境搭建(保姆级)
guapi_poe的博客
03-21 1926
1 环境搭建 vs2019+wdk10 vs2019下载官网社区版即可 免费的无需破解 wdk10 注意两者要下载对应的版本 ,我这里下载的都是最新的版本 两者可以无缝衔接 VS2019 安装插件选择C++即可 一路下一步即可 安装完成后再安装 WDK 安装路径好像不能改 我的直接安装到了 D:\Windows Kits 安装完成后 会有驱动安装的提示 ,一路next安装即可一定要安装 !!! 我之前一直都没安装上 所以VS2019没有 对于的驱动开发模块 登录V...
Windows内核调试原理浅析
01-05 1399
前段时间忽然对内核调试器实现原来发生了兴趣,于是简单分析了一下当前windows下主流内核调试原理,并模仿原理自己也写了个极其简单的调试器:)  WinDBG  WinDBG和用户调试器一点很大不同是内核调试器在一台机器上启动,通过串口调试另一个相联系的以Debug方式启动的系统,这个系统可以是虚拟机上的系统,也可以是另一台机器上的系统(这只是微软推荐和实现的方法,其实象SoftICE这类内核
Windows软件调试学习笔记(五)—— 软件断点&内存断点
qq_41988448的博客
08-05 2011
软件调试学习笔记(五)—— 软件断点调试的本质软件断点分析INT 3执行流程 调试的本质 描述: 1)调试的本质是触发异常与调试器接管异常的过程。 2)不论是软件断点,硬件断点还是INT 3断点,本质都是触发异常。 软件断点 当使用调试器在任意代码位置设置断点时,本质上是将当前代码位置的字节码改为0xCC,对应的汇编指令为INT 3。 调试器为了界面的美观,不会直接在反汇编界面将修改后的数据显示出来。 可以使用WinHex查看内存数据进行验证。 软件断点执行流程: 被调试进程: 1)CPU检测到INT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值