VMware+Windgb内核驱动调试

转载自：http://www.cnblogs.com/lzjsky/archive/2010/12/14.html

原文地址：http://hi.baidu.com/1ian9yu/blog/item/96e29bb357acbfa2d8335a25.html
根据此文，很顺利的完成了源码级调试设置。  
 

呵呵，搞点突兀的标题而已。其实说的还是如何使用WinDBG和VMware来搭建调试内核的环境而已，这些网上已经有数不清的教程了，不过我喜欢自己亲手写一下。第一，把这个过程写一遍能加深印象，就算以后忘记了也可以有笔记查找，快速想起来。第二、网上的教程很多都是互相抄来抄去，连错误也抄过去了。很典型一个错误就是Baud Rate，前面还写115200，后面就写成了11520了，狂汗！

按照我这篇笔记写的步骤去做，绝对能够成功，并且还能大略地了解到为什么要这样做的原因。第1部分是步骤，如果不想看原因的，直接按部照搬就可以成功。如果还想深入点了解为什么要做这些步骤，这些步骤的含义是什么？那就请继续看第二部分。

第一部分（步骤）：

先统一名称，真实的操作系统叫HostOS，在VMware里虚拟的操作系统叫GuestOS。

1.在VMware里安装好GuestOS；下载WinDBG并安装好。

2.添加一个串口

在关闭GuestOS的情况下才能添加硬件。添加串口的过程如下：

选择“串行端口”

选择“输出命名管道”

其他如下设置：

3.在GuestOS的boot.ini文件里填入如下内容：

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional Debug" /fastdetect /debugport=com1 /baudrate=115200

如图：

4.创建一个WinDBG的快捷方式，在“目标”一栏后面加上：

-b -k com:pipe,port=\\.\pipe\com_1,resets=0

如图：

5.重启GuestOS，选择Debug模式。

6.双击第4步创建的那个快捷方式启动WinDBG，它会自动去连接调试GuestOS。

可以看到，已经成功了，现在可以尽情地调试内核了。

第二部分（解说）：

原理就是VMware在GuestOS虚拟一个COM口，并在HostOS创建了一个管道，这个管道的一端连接GuestOS的COM口，另一端则是WinDBG，所以HostOS（WinDBG）和GuestOS的所有数据交换都是通过这个管道来流通转发的。

1.我的电脑没有COM口，所以不能搭建调试环境？

不是的，你的电脑有没有COM口与这个调试环境没有任何关系，整个过程根本没有使用到你电脑的物理COM口。VMware只是在GuestOS虚拟了一个COM口而已。

2.在创建串口（COM口属于串口的一种）的过程中，看到指定的管道为“\\.\pipe\com_1”，我可以指定为其他吗？

可以的。这只是指定一个管道名字而已，VMware用这个名字来创建一个命名管道。我完全可以改成“\\.\pipe\liangyu”、“\\.\pipe\aaa”等等，但记得要把WinDBG的快捷方式处的管道名字更改为一样。

3.我可以在GuestOS的boot.ini文件更改那个COM口吗？比如把COM1改为COM2？

不可以的，VMware会把虚拟出的这个COM口总是定义为com1。GuestOS的其他COM口都得让位。

4.看到很多教程都说到要勾选“I/O模式”，如图：

一定要勾选吗?

这个勾选不勾选都可以，我没发现有什么大的区别。

5.在更改GuestOS的boot.ini文件的时候，增加有“/debugport=com1 /baudrate=115200”这些内容，含义是？

使用的调试端口是com1，波特率是115200。这是在告诉GuestOS现在要调试内核(操作系统），把调试信息往COM1口输出，使用的波特率是115200。
我在试验的时候发现，这个波特率其实也不一定要设为115200，完全可以修改为112233、445566等等其他数据。可能是因为WinDBG自动调节波特率来适配管道或COM口，所以波特率在这里没有实际意义。

6.WinDBG的快捷方式那里添加了“-b -k com:pipe,port=\\.\pipe\com_1,resets=0”这些内容，含义是？

大概意思就是使用管道“\\.\pipe\com_1”来进行内核调试。各个参数的说明在WinDBG的参考文档里面有，这里粘贴一下：

-b

(Kernel mode only) This option has two effects:

1. The debugger will break into the target computer immediately upon connection.

2. After a reboot, the debugger will break into the target computer once the kernel is initialized. See Crashing and Rebooting the Target Computer for details and for other methods of changing this status.

 

-k  [ConnectType]

(Kernel mode only) Starts a kernel debugging session. For details, see Choosing Kernel Debugging Settings. If -k is used without anyConnectType options following it, it must be the final entry on the command line.

 

resets=0

Specifies that an unlimited number of reset packets can be sent to the target when the host and target are synchronizing. Use the resets=0parameter for Microsoft Virtual PC and other virtual machines whose pipes drop excess bytes. Do not use this parameter for VMware or other virtual machines whose pipes do not drop all excess bytes.

7.一定要这样创建一个WinDBG的快捷方式才能进行调试吗？

不是的，我们完全可以先正常运行WinDBG，然后选择菜单“File”--->“Kernel Debug...”，然后会弹出以下对话框：

然后设置如上，点确定。这样也是可以进行调试的。

8.上面第5、第6步有先后顺序吗？看到很多资料都很强调这个先后顺序。

这个是没有先后顺序的。你可以先执行第5，再到第6步，或者先执行第6，再到第5步都是没有关系的。

选择Debug模式后，即使进入系统操作了很久，运行了很多东西，但只要你运行WinDBG，照样能够连上去调试。所以说这里是没有先后顺序的。

 

 

第三部分 使用WinDBG和VMware调试驱动程序

还是先统一一下名称，真实的操作系统叫HostOS，在VMware里虚拟的操作系统叫GuestOS。

我们编写完驱动后，当然要进行调试，这不可能在HostOS（本机）里调试，否则BOSD就麻烦了，而且支持本机调试的调试器比较流行的只有 softice，这个东西早就停止更新了，而且对目前的操作系统的支持更是非常不好。所以使用WinDBG和VMware调试驱动程序绝对是我们最佳的选择。

驱动的加载和卸载是必须的步骤，你总不会希望每次修改驱动后需要重启系统才能进行调试吧？加载和卸载的代码其实很简单：

// ***************************************************************
// function : LoadDriver
// purpose   : 加载驱动
//     
// parameter : [IN] lpPath 驱动的完整路径
//      [OUT] 
//     
//
// author   : liangyu
// created   : 2008-7-10   17:19
// *************************************************************** 
BOOL CSSDTToolGuiDlg::LoadDriver(LPTSTR lpPath)
{
    SC_HANDLE hSCManager = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
    if ( NULL == hSCManager )
    {
   return FALSE;
    }

SC_HANDLE hService = CreateService( hSCManager, _T("SSDTTool"),
   _T("SSDTTool Driver"), SERVICE_ALL_ACCESS,
   SERVICE_KERNEL_DRIVER, SERVICE_DEMAND_START,
   SERVICE_ERROR_IGNORE, lpPath, NULL, NULL, NULL, NULL, NULL );
if ( NULL == hService )
{
   if (ERROR_SERVICE_EXISTS == GetLastError())//如果是"已经存在该驱动"导致的错误则继续
   {
    hService = OpenService( hSCManager, _T("SSDTTool"), SERVICE_ALL_ACCESS);
   } 
   else
   {
    return FALSE;
   }
}

StartService( hService, 0, NULL );
CloseServiceHandle( hService );
    CloseServiceHandle( hSCManager );

return TRUE;
}

// ***************************************************************
// function : UnLoadDriver
// purpose   : 卸载驱动
//     
// parameter : [IN] lpName 服务（驱动在SCM注册的）名字
//      [OUT] 
//     
//
// author   : liangyu
// created   : 2008-7-10   17:41
// *************************************************************** 
BOOL CSSDTToolGuiDlg::UnLoadDriver(LPTSTR lpName)
{
SC_HANDLE hSCManager = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
    if ( NULL == hSCManager )
    {
   return FALSE;
    }

SC_HANDLE hService = OpenService( hSCManager, lpName, SERVICE_ALL_ACCESS);
if ( NULL == hService )
{
   return FALSE; 
}

SERVICE_STATUS ss;
ControlService( hService, SERVICE_CONTROL_STOP, &ss );
DeleteService( hService );
CloseServiceHandle( hService );
    CloseServiceHandle( hSCManager );

return TRUE;
}
　

其实有人已经写好这个用途的工具了，《Rootkits: Subverting the Windows Kernel》提到的InstDrv（www.rootkit.com/vault/hoglund/InstDvr.zip），也有国内的网友写好了一个中文版的（http://hi.baidu.com/coderui/blog/item/670a25fb4912b161024f566e.html），功能更齐全。我们就用它来加载和卸载要调试的驱动。

好了，开始。按照之前的说明搭好调试环境后，先用WinDBG连上VMware，如果GuestOS阻塞了，则在WinDBG输入命令“g”，然后回车，直到让GuestOS跑起来。我们把编译好的驱动文件(*.sys)放到GuestOS里，回到WinDBG，按 “Ctrl+Break”，WinDBG会让GuestOS暂停下来，我们也可以在WinDBG的命令栏输入命令了，如下：

在这里输入“bu drivername!driverentry”（大小写不限）可以在驱动的DriverEntry函数的入口点下一个延迟断点，其实BU的意思就是Set Unresolved Breakpoint，WinDBG会记住这个断点，当这个驱动被加载了并且执行到这个地方，WinDBG会暂停GuestOS让你进行调试操作。drivername是你的驱动名字，比如我在这里的驱动名字是SSDTTool，那我在这里输入的命令如下：

回车后即下好断点了。现在打开源文件，源文件在HostOS呢。“Ctrl+O”找到驱动的源文件打开，如图：

还要设置符号路径。“Ctrl+S”打开设置窗体，符号路径一般有两个（可以有多个），一个是你设置保存系统DLL的PDB文件的路径，另一个是你驱动的PDB的路径，以分号隔开。如下：

记得勾选“Reload”，OK后稍等片刻，等WinDBG把这些东西加载完毕后再操作。加载完后我们输入“g”，回车，让GuestOS跑起来。在GuestOS里运行驱动加载/卸载工具把我们的驱动加载起来。可以看到，已经断下来了，我们可以源码调试驱动了：

注：打开源文件和设置符号路径可以在一开始的时候就做，这是没有严格先后顺序的。

posted @ 2010-12-14 10:30 李sir 阅读(2134) 评论(1)  编辑

使用WinDbg内核调试

看雪学院，笨笨翻译《使用WinDbg内核调试》。很有用的资料，由于太长，加上很多图片，偷懒，留个链接在这里。这里简要做一些我测试时候的笔记：

1. 首先你要配置好测试环境：参考VMware+Windgb+Win7 内核驱动调试
2. 在你的主机上配置Symbols
   • 配置sympath，C:\Users\Admin\Desktop\first\objchk_win7_x86\i386是你编译好的sys目录: SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols;C:\Users\Admin\Desktop\first\objchk_win7_x86\i386
   • 配置Source search path假设文件放在C:\Users\Admin\Desktop\first]: C:\Users\Admin\Desktop\first
   • 然后在命令行中输入：.reload
   • 打开源文件：Ctrl+O
3. 接着检查是否已经加载sys.dbg，命令为：

   kd> !lmi ndislwf
   Loaded Module Info: [nt]
   Module: ntoskrnl     Base Address: 80a02000

   Symbol Type: PDB      – Symbols loaded successfully from symbol server.
   d:\DebugSymbols\ndislwf.pdb\EC9B7590D1BB47A6A6D5383538C2B31A1\ntoskrnl.pdb
   Compiler: C – front end [13.10 bld 2179] – back end [13.10 bld 2190]      Load Report: public symbols
   d:\DebugSymbols\ndislwf.pdb\EC9B7590D1BB47A6A6D5383538C2B31A1\ndislwf.pdb

4. 接着如果出现如上的结果，表明可以手动设置断点，否则(个人经验总是不能设置)。假设在ndislwf 的DriverEntry 设置断点。在启动驱动之前，中断在WinDbg的命令窗口，输入：bu ndislwf!DriverEntry
5. 接下来开始安装测试驱动。若执行到DriverEntry该函数，就会停下来，并且会在代码框中对应的代码中用红色标志，然后按F10可以单步调试。
6. 如果查看已经设置哪些断点:

   kd> bl

   0 e [d:\winddk\3790\src\general\ioctl\sys\filter.c @ 123]    0001 (0001) ndislwf!DriverEntry

   1 e [d:\winddk\3790\src\general\ioctl\sys\filter.c @ 338]    0001 (0001) ndislwf!SioctlDeviceControl+0×103

   注意两件事： 每个断点都有一个号码并且显示出断点状态，“e”是“enabled”，而“d”是“disabled”。假设你希望临时停止使用某个断点。bd (“Disable Breakpoint”) 将会完成它。你只需指定断点号码：

   kd> bd 1

   kd> bl

   0 e [d:\winddk\3790\src\general\ioctl\sys\filter.c @ 123]    0001 (0001) ndislwf!DriverEntry

   1 d [d:\winddk\3790\src\general\ioctl\sys\filter.c @ 338]    0001 (0001) ndislwf!SioctlDeviceControl+0×103  ·

   相似的方法，永久移除断点号码，使用bc 1 (“Clear Breakpoint”)。现在该断点将会从断点列表中消除。

    

假设你希望临时停止使用某 个断点。bd (“Disable Breakpoint”) 将会完成它。你只需指定断点号码：

kd> bd 1

kd> bl

0 e [d:\winddk\3790\src\general\ioctl\sys\sioctl.c @ 123] 0001 (0001) SIoctl!DriverEntry

1 d [d:\winddk\3790\src\general\ioctl\sys\sioctl.c @ 338] 0001 (0001) SIoctl!SioctlDeviceControl+0×103

• · 相似的方法，永久移除断 点号码，使用bc 1 (“Clear Breakpoint”)。现在该断点将会从断点列表中消除。

就先写这么写。怕到时候测试又忘记了。

posted @ 2010-12-14 10:10 李sir 阅读(406) 评论(0)  编辑

VMware+Windgb+Win7 内核驱动调试

本文主要记录个人安装VMware+Windgb+Win7内核驱动调试的笔记。

一、安装环境

1. 主机：Windows Vista Bussiness
2. 虚拟机：VMware 7
3. GUestOS: Win7
4. Windbg: 6.11 

二、虚拟机配置

打开相应 vmware 虚拟机上的 “Virtaul Machine Settings“

2.“Hardware　”选项中 —-> 点击“Add”　添加一个串口设备 SeriallPort .

3.”Next”,在 “Serial Port” 里选中 “Output to named pipe”

4.”next”,然后如下设置：

5.确定之后，回到如下界面，在右脚”Virtual Machine Settings” 页面时，在“I/O Mode” 里选中“Yield CPU on poll“

6. Ok之后就设定完毕了。

三、Windbg设置

下载地址： Windbg

安装之后，设置一个桌面快捷方式，然后，右键->属性，在Target中的引号后面添加如下：-b -k com:pipe,port=\\.\pipe\com_1,resets=0

或者是： -b -k com:port=\\.\pipe\com_1,baud=115200,pipe 【二者似乎皆可】

四、GuestOS设置

Vista和XP不同, 没有boot.ini文件, 需要用bcdedit进行启动设置。

1. 在administrator权限下, 进入command line模式,  键入bcdedit命令, 会出现以下界面:

2. 然后, 设置端口COM1, baudrate为115200 (除COM1外, 也可以用1394或USB. 1394用起来比COM口快多了, 当然前提是你需要有1394卡及其驱动. 很恶心的是Vista不再支持1394的文件传输协议, 但是用windbg双机调试还是可以的)
命令为:
bcdedit /dbgsettings {serial [baudrate:value][debugport:value] | 1394 [channel:value] | usb }

3.接着, 我们需要复制一个开机选项, 以进入OS的debug模式
命令为:
bcdedit /copy {current} /d DebugEnty
DebugPoint 为选项名称, 名字可以自己定义. 然后复制得到的ID号.

4. 接着增加一个新的选项到引导菜单
bcdedit /displayorder {current} {ID}
这里的{ID}的ID值是刚 生成的ID值.

5. 激活DEBUG : bcdedit /debug {ID} ON
这里的{ID} 的ID值还是刚才的ID值.

6. 命令执行成功后, 重新启动机器.或者更简单的图形界面设置：在msconfig界面中，选Boot,再选Advanced options，在选择Debug、Debug port、Baud rate都打上钩。如果所示：

7. 选择DebugEntry[debug]作为等入口。启动后，打开windbg.可以看到类似如下的信息：

Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.

Opened \\.\pipe\com_1
Waiting to reconnect…
Connected to Windows 7 7600 x86 compatible target at (Thu Dec 10 17:46:36.928 2009 (GMT+8)), ptr64 FALSE
Kernel Debugger connection established.  (Initial Breakpoint requested)
Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path.           *
* Use .symfix to have the debugger choose a symbol path.                   *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for ntkrpamp.exe -
Windows 7 Kernel Version 7600 MP (1 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7600.16385.x86fre.win7_rtm.090713-1255
Machine Name:
Kernel base = 0x83e0f000 PsLoadedModuleList = 0x83f57810
Debug session time: Thu Dec 10 17:46:32.658 2009 (GMT+8)
System Uptime: 0 days 0:06:18.429
Break instruction exception – code 80000003 (first chance)
*******************************************************************************
*                                                                             *
*   You are seeing this message because you pressed either                    *
*       CTRL+C (if you run kd.exe) or,                                        *
*       CTRL+BREAK (if you run WinDBG),                                       *
*   on your debugger machine’s keyboard.                                      *
*                                                                             *
*                   THIS IS NOT A BUG OR A SYSTEM CRASH                       *
*                                                                             *
* If you did not intend to break into the debugger, press the “g” key, then   *
* press the “Enter” key now.  This message might immediately reappear.  If it *
* does, press “g” and “Enter” again.                                          *
*                                                                             *
*******************************************************************************
nt!DbgBreakPointWithStatus+0×4:
83e7a394 cc              int     3

五、操作方式提示

1. 我发现，如果在GuestOs -win7启动过程中，如果打开了windbg之后，整个系统就像死机，不动了。估计是windbg启动后设定了断点做调试，试试按F5,或者go这样就可以恢复原来的状态。