Windbg 双机调试进程

最新推荐文章于 2025-05-09 15:05:57 发布
最新推荐文章于 2025-05-09 15:05:57 发布
阅读量4k 收藏 3
点赞数 2
CC 4.0 BY-SA版权
分类专栏: IDA Windbg 软件调试 文章标签: 软件调试 IDA Windbg vmware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BraveJohn/article/details/17720263
本文介绍了一种针对64位DLL文件的逆向工程方法。通过搭建虚拟机及使用Windbg等工具,实现对目标程序的有效调试,解决了64位IDA无法形成类C代码的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景:最近需要逆向国内某知名视频软件的一个功能,公司配置的电脑是64位的,目标程序(一个DLL)在64位机器上也是64位的,用64位IDA调试时,按F5键无法形成类"C"的代码(网上有相关的解决办法,但是本人没有测试出来),但是用32位的IDA分析32为的程序就没的问题。因此搜集资料,最终选取构造一个32位的虚拟机系统,用32为的IDA+Windbg采用动静结合的方式逆向程序。

 

调试环境:Windows + Windbg + VMware

1.建立Windows和虚拟机的双机调试环境(具体办法参考《寒江独钓》或《Windows驱动设计》)

2.以Debug的方式启动虚拟机

3.在虚拟机中打开任务管理器查看想要调试进程的ID

4.待程序加载完毕后,中断虚拟机,在Windbg命令行中输入命令 !process 0 0

5.找到目标进程的ID,输入命令.process /p [PRCESS值],从而选中需要调试的进程

6.输入命令.reload /f /user,加载模块符号

7.这样就可以跟调试本地进程一样调试远程进程了

WinDBG 配置内核双机调试
weixin_30790841的博客
09-19 815
WinDBG 是在 windows 平台下,强大的用户态和内核态调试工具,相比较于 Visual Studio 它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大,WinDBG由于是微软的产品所以能够调试Windows系统的内核,另外一个用途是可以用来分析dump数据,本笔记用于记录WinDBG内核调试的配置过程,并附有常用命令的使用方法。 ...
操作系统 实验2 windbg双机调试+系统调用过程
Lawliet_233的博客
11-09 2177
1.配置windbg双机调试环境,给出关键步骤及最终成功断下的截图。 1).在安装好的win7虚拟机设置中,添加一个串行端口,并选择输出到命名管道,具体设置如图。 这样设置之后,在后面的步骤中,主机便能通过这个管道与虚拟机相连进行双机调试。 2)在win7虚拟机中以管理员权限打开命令行并做以下设置 3)在本机里创建一个windbg的快捷方式,在目标一栏里加上以下代码 -...
windbg与多进程调试
软件调试的变革
08-14 2018
我们首先做个实验,来看windbg是否支持多进程调试, 我首先编写一个MFC工程命名为mutiprocess,在这个工程中简单添加一个按钮,作用是启动一个线程。代码如下:  // TODO: Add your control notification handler code
WinDbg附加到进程的几种方式
最新发布
m0_50771141的博客
05-09 369
启动WinDbg,点击File-Open Executable。目标程序会被Windbg启动,并被中断。③在列表中选择目标程序(新启动的进程一般在列表下面)。此时被附加的程序会被Windbg中断。输入指令g,可继续执行。不论是WinDbg附加到进程、还是WinDbg直接启动软件,关闭WinDbg后,目标进程也会随之关闭。②使用命令行启动Windbg,并附加到目标进程,并使用g指令使程序继续执行。快捷键Win+R,输入cmd,输入如下命令行后回车。快捷键Win+R,输入cmd,输入如下命令行后回车。
windbg XP双机调试
史D芬周
11-24 615
D:\wdk7600\path\Debuggers\windbg.exe” -b -k com:pipe,port=\\.\pipe\com_1 ,resets=0,reconnect -y (名字要和你取得名字对应上)2:操作步骤:编辑虚拟机设置 -> 添加 -> 串行端口 -> 完成 参数配置:使用命名管道 -> \\.\pipe\com_1 -> 该端是服务器,另一端是应用程序 -> 轮询时主动放弃CPU->确定。Windbg -属性 目标-把路径复制出来,把参数加上。1:虚拟机增加串行端口。
(1)Windbg搭建双机调试环境
Sven的忘却日记
02-19 1677
最近开始学习内核漏洞利用相关的技术,我决定分享一些实践笔记! 本篇主要是介绍如何搭建实验环境,后面将介绍并使用HackSysExtremeVulnerableDriver来练习各种类型内核漏洞的利用方法! 用到的工具: WinDbg VMware 15 Pro Win7Sp1(VM-Debuggee) 设置调试Windbg安装完后,设置系统环境变量: _NT_SYMBOL_PATH 环境变...
双机调试用户态应用程序
baggiowangyu的专栏
07-03 2752
我在本地调试API钩子的时候经常遇到调试到一半机器就卡死了,我怀疑是不是因为钩子导致的锁死问题。所以考虑到这样决定使用双机调试。网上查了一下双机调试的方法,是主要有两种:VS2005双机调试Windbg双机调试。从配置方法上讲VS2005配置双机调式比较简单。那我们先介绍VS2005的双机调试。 VS2005双机调试 约定术语: 被调试端:运行调试程序的机器 调试端:使用VS2005进行
使用windbg进行双机内核调试
03-06
但在某些情况下,如远程服务器的内核问题、硬件故障模拟或者多系统环境下的协同调试双机调试就显得尤为必要。它允许我们在一台主机(调试器)上控制另一台目标机(被调试机)的内核运行状态。 **设置双机调试的...
windbg kd 内核调试状态下调试用户某个进程
zhangyihu321的专栏
12-01 680
process 0 0 notepad.exe # 找进程。kd> g # 继续执行。.process /i /p # 通知调试器切换进程。process 0 0 notepad.exe # 查找记事本进程。.process /r /p # 刷新地址空间。process 0 0 # 简单列表。process 0 7 # 详细信息。
Windbg+VMware双机调试/1394/串口/常见问题处理+下载符号文件离线包
海阔天空
03-18 4423
目录 1. 调试工具VisualDDK: 2. Vista以下的版本系统设置: 3. Vista以上的版本系统设置: 4. 1394火线调试 5. 使用串口线双机调试 6.调试过程中出现的问题及解决方案 7. 快速下载符号文件离线包 1. 调试工具VisualDDK: 1.安装VisualDDK. 2.WMware拷贝target文件夹,运行wminstall.e...
双机调试windbg的命令
bilibili的博客
03-24 6215
啦啦啦
WinDbgvmware虚拟机调试配置 解决WinDbgvmware不能连接问题
03-29
利用VMWareWinDbg调试驱动程序,配置调试机(本机真实系统)和被调试机(虚拟系统)。 笔者也是第一次配置,按照网上一般教程总是配置不成功。后来发现是因为有的笔记本电脑上是没有COM1口的。于是装了个虚拟串口软件(VSPD)打算虚拟一个串口用来调试,装了之后发现VSPD显示本机上是有COM3口的(但是设备管理器上没有显示,只能从VSPD上看到...)。于是自己试了一下,用本机上的COM3口和虚拟机上的com2口进行的连接,结果成功了。 上传给大家参考一下。
AI学习所需知道的数学知识
soyb968的博客
12-21 258
所有知识整理到百度网盘 链接:https://pan.baidu.com/s/1cOwNYWrEZ7n1y7D5WFDMGA 提取码:oqo7 复制这段内容后打开百度网盘手机App,操作更方便哦--来自百度网盘超级会员V3的分享
驱动程序的调试windbg双机调试
C++入门到放弃
10-26 9429
这篇博客是接着上一篇的,主要写一下配置好了双机调试环境之后,如何使用windbg调试自己开发的驱动程序。配置完了双机调试的环境以后,在主机使用windbg已经可以hook虚拟机的操作系统,如下图 可以看到我们的调试机已经hook住了虚拟机,这时按Ctrl+Pause就可以使虚拟机的操作系统暂停运行。 输入g或者按F5可以使其恢复运行。这时将想要调试的驱动程序安装在虚拟机OS中,就是把 De
WinDbg双机调试,很慢
Lydia的博客
07-01 2395
WinDbg双机调试,很慢 SRV*F:\WindowsXP-SP3-x86-symbols*http://msdl.microsoft.com/download/symbols
VMware+windbg搭建双机调试
weixin_30670925的博客
01-04 186
VM版本如下: 虚拟机用的是XP系统,找到XP系统打开系统盘(比如C盘),找到Boot.ini,去掉这个文件的只读属性,用记事本打开Boot.ini [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)r...
基于网络的内核调试
Changju博客
12-11 2951
驱动调试需要用到两台机器,目前主要是通过串\口、usb或者1394接口来连接。对于软设备驱动来说就多了一种选择,通过vmware等虚拟化软件来虚拟测试机。但有些情况下必须在真实的双机环境进行,如真实设备驱动的调试,以及其他驱动无法在虚拟机上运行的情况,这时就要考虑用什么接口来连接了。串口的优点是它属于标配,几乎每个PC主板上都有,串口线也便宜,另外就是所有的windows系统都支持串口调试,所以很
windbg双机调试(本机和VM虚拟机)驱动程序
RedLobster的博客
02-24 2730
本文为在学习过程中的笔记,写的不好请见谅.在调试内核驱动程序时,驱动程序被操作系统加载.而操作系统无法自己调试自己.所以要用一台计算机调试另一台计算机的操作系统,进而调试内核驱动.使用windbg对虚拟机中的操作系统进行调试之前,要先配置windbg和虚拟机,这里用的windbg为WDK7.1中自带的.虚拟机配置安装好虚拟机后,打开虚拟机界面,点击编辑虚拟机设置 点击添加 选择串行端口,点击下一
vc远程调试启动进程(非attach)
ultracpp的专栏
08-26 651
调试端设置同attach进程方式的远程调试 代码端,需要在[Project] [Properties] [Configuration Properties] [Debugging]。将Debugger to launch选为Windows Remote Debugger. 然后设置如图:
windgb双机调试
03-29
### Windbg 双机调试方法与配置 Windbg 是一种功能强大的调试工具,支持多种方式的远程调试。以下是关于如何进行双机调试的方法和配置示例。 #### 调试环境准备 为了实现双机调试,需要确保目标计算机(被调试机器)和主机(调试机器)之间能够正常通信。通常可以通过串口、网络或USB等方式连接两台设备[^1]。 #### 配置步骤说明 ##### 1. 主机端配置 在主机上启动 WinDbg 并进入 **File -> Kernel Debug...** 或者 **File -> Attach to a Process...** 的菜单选项来设置调试模式。对于用户态应用程序调试,可以选择 `User` 模式;而对于驱动或者操作系统级别的内核调试,则应选择 `Kernel` 模式[^2]。 如果采用的是网络方式进行调试,在弹出窗口中填写相应的参数: - **Transport**: Select Network. - **Host IP Address**: 输入本地IP地址。 - **Port Number**: 设置监听端口号,默认可设为50000。 - **Key (optional)**: 如果希望增加安全性,可以指定密钥字符串用于加密传输数据流。 完成上述操作后点击OK按钮即可开启服务器等待客户端连接请求。 ##### 2. 目标机端配置 同样地,在目标计算机也需要安装并运行WinDbg软件。执行以下命令以初始化作为客户端的角色: ```cmd cdb.exe -server npipe:port=.,name=<PipeName> -pn <ProcessName> ``` 这里 `-server` 参数指定了使用的协议类型以及命名管道的名字或者其他必要的信息;而`-pn`后面紧跟的就是待附加的目标进程名称[^3]。 当一切就绪之后,目标机会尝试联系已经处于侦听状态下的主机实例形成握手过程从而建立完整的双向通讯链路以便后续开展深入分析工作。 #### 示例脚本展示 下面给出一段简单的批处理文件(.bat),它可以帮助快速部署基于TCP/IP协议栈上的双节点间交互流程自动化脚本: ```batch @echo off setlocal enabledelayedexpansion :: Host Machine Setup Script Example if "%COMPUTERNAME%"=="HOST_MACHINE_NAME" ( echo Starting Debugger Server on HOST... windbg -waitforclient tcp:port=50000,key=mysecretkey ) :: Target Machine Client Connection Command Line Sample if "%COMPUTERNAME%"=="TARGET_MACHINE_NAME" ( echo Connecting To Remote Debugger Session On TARGET Side.. cdb -remote tcp:hostname=%HOST_IP%,port=50000,key=mysecretkey -pn notepad.exe ) endlocal pause ``` 此脚本区分了不同的电脑名字分别设置了服务端还是客户端角色的行为逻辑,并且引入了一个共享秘密钥匙mysecretkey加强保护措施防止未经授权访问敏感区域的数据交换活动发生意外泄露风险等问题出现。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值