1- 环境配置

最新推荐文章于 2024-03-04 21:55:44 发布
最新推荐文章于 2024-03-04 21:55:44 发布
阅读量546 收藏
点赞数 1
分类专栏: Windows内核 文章标签: windows windbg 内核调试 Windows内核 内核调试环境准备
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50606278/article/details/129587916
版权

打开隐藏文件

打开XP虚拟机的隐藏文件可以看到boot.ini文件
image.png

image.png

配置系统引导

Windows7_x86
以管理员身份运行cmd 去配置msconfig
由于GUI界面工具的限制,所以我们使用控制台命令去操作
image.png
bcdedit 在NT60系列操作系统(Windows 8/7/Vista/2008)中的一个命令行工具
使用bcdedit修改windows7_32系统的启动菜单
使用注册表工具是修改不了该配置的。

操作步骤

我们需要做的就是系统配置里,去创建引导,具体步骤如下:
image.png
使用bcdedit /? 查看相关命令操作
image.png
使用该命令bcdedit /copy {current} /d DebugEntry,将当前的引导复制粘贴一份
image.png
随即生成id a3565eff-40d7-11ed-a882-ce94402d623c
image.png
并且在GUI界面多出一份拷贝出来的引导
image.png
使用bcdedit /displayorder {a3565eff-40d7-11ed-a882-ce94402d623c} /addlast
将该引导添加到列表尾部
image.png

使用该命令配置虚拟机与物理交互的频率(波特率)bcdedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200
image.png
使用该命令设置boot断点,当boot加载的时候,就断下来bcdedit /bootdebug {a3565eff-40d7-11ed-a882-ce94402d623c} ON
image.png
使用该命令配置操作系统断点bcdedit /debug {a3565eff-40d7-11ed-a882-ce94402d623c} ON
image.png
使用该命令配置选择引导超时时间为30秒
image.png

配置完后在电脑中重启电脑
image.png

虚拟机串行端口配置

然后关机配置虚拟机的相关操作
image.png
选择添加串行端口
image.png
相关配置如图所示:
image.png

windbg的配置

前提是已经安装了WDK

配置windbgx86.exe
image.png
image.png
"C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x86\windbg.exe" -y SRV*E:\symbol*[http://msdl.microsoft.com/download/symbols](http://msdl.microsoft.com/download/symbols) -b -k com:port=//./pipe/com_1,baud=115200,pipe
软件启动路径:"C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x86\windbg.exe"
符号加载路径:-y SRV*E:\symbol*[http://msdl.microsoft.com/download/symbols](http://msdl.microsoft.com/download/symbols)
配置串行端口:-b -k com:port=//./pipe/com_1,baud=115200,pipe
根据自己的情况去修改。

使用lm查看加载符号路径或者加载情况
使用.reload根据当前需要去加载符号

操作系统下载网址:msdn,我告诉你
环境准备:
在Windows7X86虚拟机里下载VS2008
image.png
VS2008 下载网址:
image.png

WDK的安装

VS2019下载SDK和WDK
image.png
查看本机系统版本号
image.png
下载WDK的对应版本
image.png
WDK与SDK的版本要一致
image.png

简单例子验证驱动是否正确安装

测试代码:

//相当于普通程序的 windows.h
#include <ntddk.h>

//卸载函数
void DriverUnload(PDRIVER_OBJECT object) {
	//打印一句话,方便观察
	DbgPrint("hello world: driver is unloading...");
}

//主函数,相当于main
//driver里有些信息,就是关于本驱动的
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path) {
	//驱动使用DbgPrint(),普通程序用printf(),你懂我意思
	DbgPrint("hello world");
	//你可以认为我们赋值给了一个回调函数指针
	//恰当的时机(在卸载这个驱动的时候),就会调用这个函数指针
	driver->DriverUnload = DriverUnload;
	//就是return 0而已,只是好看点
	return STATUS_SUCCESS;
}

错误1297设备驱动程序不安装在任何设备上,如果需要,请使用基本驱动程序。
image.png
把该文件删掉,因为我们没有做硬件驱动的处理。
image.png

警告处理

方法一:

重新编译会发现 错误,因为警告等级太强了。
image.png

使用宏方法告诉编译器未引用的形参
UNREFERENCED_PARAMETER

//相当于普通程序的 windows.h
#include <ntddk.h>

//卸载函数
void DriverUnload(PDRIVER_OBJECT object) {

	UNREFERENCED_PARAMETER(object);
	//打印一句话,方便观察
	DbgPrint("hello world: driver is unloading...");
}

//主函数,相当于main
//driver 里有些信息,就是关于本驱动的
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path) {
	
	UNREFERENCED_PARAMETER(driver);
	UNREFERENCED_PARAMETER(reg_path);
	//驱动使用DbgPrint(),普通程序用printf(),你懂我意思
	DbgPrint("hello world");
	//你可以认为我们赋值给了一个回调函数指针
	//恰当的时机(在卸载这个驱动的时候),就会调用这个函数指针
	driver->DriverUnload = DriverUnload;
	//就是return 0而已,只是好看点
	return STATUS_SUCCESS;
}

编译成功,无报错
image.png

方法二:

修改警告等级

在“C/C++——常规”中修改警告等级为“3”;警告视为错误设为“否”,如图
image.png

设置警告模式

在“Driver Signing——General”中修改“Sign Mode”为“Off”,如图
image.png

虚拟机驱动测试

配置完后重新编译放进虚拟机里加载运行
image.png
直接蓝屏
image.png
image.png
原因是缺少文件,而造成文件缺失的原因是编写代码的时候没有配置值好。
image.png
然后在VS2019进行相关配置
image.png

配置完后重新编译放进虚拟机里加载运行,便看到驱动加载成功
image.png
使用Degview查看输出消息
image.png

附录:

image.png
ThreadSpy-master.zip
注意:

  1. 该文件驱动是不能跑虚拟机的,是没有效果的。

开启监控的时候,可以监控三环进0环的线程
image.png
可以拿到线程的EIP,并且可以修改,造成劫持
直接做注入 远程call。

ThreadSpy
https://github.com/SpadeXiu/ThreadSpy
PT调试
https://github.com/intelpt/WindowsIntelPT

黑桃鱼
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JDK--Java环境配置.zip
04-17
Java开发环境配置---Word文档详细图解配置JDK环境,包含JDK1.7和JDK1.8安装包(32位和63位)以及JDK1.8API开发文档
bcdedit
renluborenlubo的专栏
03-15 1659
bcdedit
删除msconfig里的启动记录(通过注册表实现)
HackProgramer的专栏
08-11 2261
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduYun
windows注册表解析说明
weixin_34216107的博客
06-13 390
注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据,包括Windows操作时不断引用的信息。例如:系统中的硬件资源、硬件信息、分配正在使用的端口、每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文件类型等。主要作用:1、记录...
window引导配置bcdedit
daoer_sofu的专栏
07-23 1656
bcdedit 以前的系统上有boot.ini配置,现在没有了只能bcdedit修改系统配置,或者msconfig修改(可修改项有限) 使用bcdedit /?查看参数使用 Bcdedit.exe 命令行工具用于修改启动配置数据存储。 启动配置数据存储包含启动配置参数并 控制操作系统的启动方式。这些参数以前 位于 Boot.ini 文件中(在基于 BIOS 的操作系统中)或位于非易失性 RAM 项中 (在基于可扩展固件接口的操作系统中)。可以 使用 Bcdedit.exe 在启动配置数据存储中 添加、删
如何在msconfig中添加启动项
bartidler的专栏
07-05 1万+
如何在msconfig中添加启动项 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Win
Win7系统提示找不到msconfig.exe文件的解决办法
最新发布
file
03-04 1275
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个msconfig.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现msconfig.exe丢失要怎么解决?
Win10不能禁和不建议禁的服务以及禁用后的影响
热门推荐
黄邦勇帅的博客
04-25 10万+
Win10不能禁和不建议禁的服务以及禁用后的影响 注意:适用于win10-19042.631版本,在之前的版本与此有一些差别 一、UWP简介 **应用:**即APP或程序,以前称为软件 UWP 即 “Windows通用应用平台”, 说简单一点,就是这种应用(即软件或程序)可以跨设备运行,即一个UWP应用可同时在平板、手机、电脑上运行,但是仅限于安装的win10系统的这些设备,所以,UWP只是跨设备,不能跨平台(即,在不同系统中运行,如可同时在windows、安桌、苹果上运行就叫跨平台), UWP程序
win7系统配置msconfig引导高级选项的说明
cloudy_huang的测试工厂
01-14 9773
在  msconfig里的引导高级选项里有几个可选择项,相信大部分人不知道这些选项的具体作用。 根据微软官方的说明和本人的理解,对这些选项一一说明,如有不同理解,可以跟帖指正。  1处理器数。是限制在多处理器系统上使用的处理器数。如果选中该复选框,则系统仅使用 下拉列表中的处理器数引导。 简单的说就是选择你的多核处理器的核心数,不选默认为全开。比如,你的核心数是 
msconfig是什么意思(补充CPU占用100%原因及解决方法)
weixin_34132768的博客
04-07 1101
朋友们在使用电脑过程中,肯定会碰到各种各样的问题:如怎么管理电脑的自启动程序、如何查看加载的系统服务、怎样从安装光盘提取丢失的系统文件等。     为了解决类似问题,微软在系统中提供了一个实用工具——系统配置实用程序(Msconfig)。     以系统管理员身份登录系统后,单击“开始→运行”输入“Msconfig”回车后即可启动系统配置实用程序(图1)。下面笔者就结合几个应...
Bootstrap学习笔记之环境配置(1)
09-01
主要为大家详细介绍了Bootstrap学习笔记之环境配置的具体操作方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
3-环境配置与PyG库1
08-03
一、引言PyTorch Geometric (PyG)是面向几何深度学习的PyTorch的扩展库,几何深度学习指的是应用于图和其他不规则、非结构化数据的深度学习
hadoop-spark配置文档1
08-08
二、各类配置①基础环境配置:(1)ssh的配置1、ssh-keygen -t rsa 生成一个私钥id_rsa,和一个公钥id_rsa.pub,在文件/root
五分钟装好VsCode-环境配置整合包.zip
06-22
最近装机频繁,干脆把vsc和相关文件整合了一下。 链接:https://pan.baidu.com/s/1F_gBaaWtAlxTOu5Bs08yXw 提取码:npg5 ... .vscode配置文件 4. 安装流程简要说明 解压逐步安装,五分钟搞定,可以开写c++。
windows自启动项msconfig介绍
qq_60115503的博客
05-17 7258
MicrosoftSystem Configuration即是系统配置实用程序,缩写为msconfig,在计算机的开始菜单栏输入缩写然后搜索就能找到该程序,它能够帮助我们禁止或者启动计算机的程序和软件,虽然我们不经常使用这个命令程序对自启动软件进行管理,但是了解这个程序对管理计算机是很多好处的
怎么打开计算机开机启动菜单,开机启动项怎么设置
weixin_34547628的博客
07-26 3818
一、“启动”项目我们知道,windows中有自带的启动文件夹,它是最常见的启动项目,但很多人却很少注意仔细检查它。如果把程序装入到这个文件夹中,系统启动就会自动地加载相应程序,而且因为它是暴露在外的,所以非常容易被外在的因素更改。具体的位置是“开始”菜单中的“启动”选项:在硬盘上的位置是:C:Documents and SettingsAdministrator「开始」菜单程序启动;在注册表中的位...
查看计算机启动项命令,运行命令开机启动项msconfig命令简介及教程
weixin_33955740的博客
07-27 7081
MicrosoftSystem Configuration即系统配置实用程序,缩写为msconfig,在计算机的开始菜单栏输入缩写然后搜索就能找到该程序,它能够帮助我们禁止或者启动计算机的程序和软件,虽然我们不经常使用这个命令程序对自启动软件进行管理,但是了解这个程序对管理计算机是很有好处的。Msconfig程序管理着很多程序的自启动状态,包括常规的软件如QQ等应用程序,也有如system.ini...
学习记录----2020.7.24
菜鸡的博客
07-24 169
学习记录 这几天看了一些关于驱动的东西,然后学了一些WinDbg的双机调试以及IDA使用WinDbg插件调试驱动,踩了很多坑 然后之前还做了一个比赛的crackme,然后数学题太顶了,不懂数论就没做出来 WinDbg 首先虚拟机的配置。首先先移除打印机,然后添加串行端口,按照如图所配置 命名管道:\.\pipe\com_1 然后WinDbg配置 在目标那一栏填 ...
win10 win7双机调试
chaoguodong的专栏
04-14 428
删除打印机 \\.\pipe\com_1 "C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" "-b -k com:pipe,port=\\.\pipe\com_1,resets=0,reconnect -y” bcdedit bcdedit /dbgsettings serial baudrate:115200 debugport:1 bcdedit /copy {current} /d DebugEntry bcde...
uni-app配置环境
01-19
uni-app的环境配置可以参考官方文档中的全局配置部分。根据文档,uni-app的环境配置主要包括以下几个方面: 1. 开发工具的安装和配置:uni-app支持使用HBuilderX作为开发工具,你可以根据官方文档中的指引下载并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑桃鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值