VisualDDK + Windbg 进行Windows内核调试(一)
调试环境搭建
1、Microsoft Visual Studio 2010
2、Windbg
3、Visual DDK
4、VMware Workstation
依次从官网下载上述软件并安装到本地
安装Visual DDK 的过程中会进行相应的配置,包括自动识别已安装的VS2010和Windbg所在位置;
在VMware下创建待调试虚拟机,并安装VMTools(菜单栏-》虚拟机-》安装VMTools)
安装成功后,进入Visual DDK安装目录-》target:
将当前目录下所有文件(主要是vminstall.exe)拷贝到VMware虚拟机内(安装VMTools的目的就是为了在虚拟机和宿主机之间直接拷贝文件)
在虚拟中运行vminstall.exe,然后重启虚拟机,会发现启动项中多了一项:Windows7【VisualKD】(启动调试程序),之后每次调试都从该模式进入系统,关闭客户机
至此调试环境已经搭建完毕;
调试内核初涉
1、首先进入Visual DDK安装路径,运行vmmon64.exe(32位系统则运行vmmon.exe),进入虚拟机监控器界面;
2、点击右下方Debugger path,找到Windbg的安装路径,添加Windbg到VisualDDK中;
3、进入VMWare,开启虚拟机;
4、此时会看到虚拟机监控器中显示当前开启的虚拟机进程,选中,点击Run debugger按钮进入Windbg;
5、在Windbg Command界面进行相应的调试,关于相应的内核调试内容会在接下来的博客中介绍;
6、在进行内核调试前首先需要安装Windows系统符号文件,百度搜索Windows系统符号文件,即可进入官网下载,下载完成后,运 行.msi文件安装到D:\Symbols目录
7、Windbg Command下执行:kd>.symfix+ d:\Symbols 命令
8、在Windbg菜单栏-》File-》Symbol File Path下可查看到已经安装的符号文件 ,在Reload中打勾,第一次使用到的符号文件会从网上自动下载下来;
9、Windbg Command下执行:kd>g 继续运行虚拟机,CTRL+break中断虚拟机进行调试;
可在网上下载WinDbg入门参考文档进行学习;