Windbg 双机调试进程

最新推荐文章于 2025-05-09 15:05:57 发布
原创 最新推荐文章于 2025-05-09 15:05:57 发布 · 4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#软件调试 #IDA #Windbg #vmware

本文介绍了一种针对64位DLL文件的逆向工程方法。通过搭建虚拟机及使用Windbg等工具,实现对目标程序的有效调试,解决了64位IDA无法形成类C代码的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景:最近需要逆向国内某知名视频软件的一个功能,公司配置的电脑是64位的,目标程序(一个DLL)在64位机器上也是64位的,用64位IDA调试时,按F5键无法形成类"C"的代码(网上有相关的解决办法,但是本人没有测试出来),但是用32位的IDA分析32为的程序就没的问题。因此搜集资料,最终选取构造一个32位的虚拟机系统,用32为的IDA+Windbg采用动静结合的方式逆向程序。

 

调试环境:Windows + Windbg + VMware

1.建立Windows和虚拟机的双机调试环境(具体办法参考《寒江独钓》或《Windows驱动设计》)

2.以Debug的方式启动虚拟机

3.在虚拟机中打开任务管理器查看想要调试进程的ID

4.待程序加载完毕后,中断虚拟机,在Windbg命令行中输入命令 !process 0 0

5.找到目标进程的ID,输入命令.process /p [PRCESS值],从而选中需要调试的进程

6.输入命令.reload /f /user,加载模块符号

7.这样就可以跟调试本地进程一样调试远程进程了

WinDBG 配置内核双机调试
weixin_30790841的博客
09-19 813
WinDBG 是在 windows 平台下,强大的用户态和内核态调试工具,相比较于 Visual Studio 它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大,WinDBG由于是微软的产品所以能够调试Windows系统的内核,另外一个用途是可以用来分析dump数据,本笔记用于记录WinDBG内核调试的配置过程,并附有常用命令的使用方法。 ...
操作系统 实验2 windbg双机调试+系统调用过程
Lawliet_233的博客
11-09 2177
1.配置windbg双机调试环境,给出关键步骤及最终成功断下的截图。 1).在安装好的win7虚拟机设置中,添加一个串行端口,并选择输出到命名管道,具体设置如图。 这样设置之后,在后面的步骤中,主机便能通过这个管道与虚拟机相连进行双机调试。 2)在win7虚拟机中以管理员权限打开命令行并做以下设置 3)在本机里创建一个windbg的快捷方式,在目标一栏里加上以下代码 -...
windbg与多进程调试
软件调试的变革
08-14 2017
我们首先做个实验,来看windbg是否支持多进程调试, 我首先编写一个MFC工程命名为mutiprocess,在这个工程中简单添加一个按钮,作用是启动一个线程。代码如下:  // TODO: Add your control notification handler code
WinDbg附加到进程的几种方式
最新发布
m0_50771141的博客
05-09 362
启动WinDbg,点击File-Open Executable。目标程序会被Windbg启动,并被中断。③在列表中选择目标程序(新启动的进程一般在列表下面)。此时被附加的程序会被Windbg中断。输入指令g,可继续执行。不论是WinDbg附加到进程、还是WinDbg直接启动软件,关闭WinDbg后,目标进程也会随之关闭。②使用命令行启动Windbg,并附加到目标进程,并使用g指令使程序继续执行。快捷键Win+R,输入cmd,输入如下命令行后回车。快捷键Win+R,输入cmd,输入如下命令行后回车。
windbg XP双机调试
史D芬周
11-24 615
D:\wdk7600\path\Debuggers\windbg.exe” -b -k com:pipe,port=\\.\pipe\com_1 ,resets=0,reconnect -y (名字要和你取得名字对应上)2:操作步骤:编辑虚拟机设置 -> 添加 -> 串行端口 -> 完成 参数配置:使用命名管道 -> \\.\pipe\com_1 -> 该端是服务器,另一端是应用程序 -> 轮询时主动放弃CPU->确定。Windbg -属性 目标-把路径复制出来,把参数加上。1:虚拟机增加串行端口。
(1)Windbg搭建双机调试环境
Sven的忘却日记
02-19 1675
最近开始学习内核漏洞利用相关的技术,我决定分享一些实践笔记! 本篇主要是介绍如何搭建实验环境,后面将介绍并使用HackSysExtremeVulnerableDriver来练习各种类型内核漏洞的利用方法! 用到的工具: WinDbg VMware 15 Pro Win7Sp1(VM-Debuggee) 设置调试Windbg安装完后,设置系统环境变量: _NT_SYMBOL_PATH 环境变...
双机调试用户态应用程序
baggiowangyu的专栏
07-03 2752
我在本地调试API钩子的时候经常遇到调试到一半机器就卡死了,我怀疑是不是因为钩子导致的锁死问题。所以考虑到这样决定使用双机调试。网上查了一下双机调试的方法,是主要有两种:VS2005双机调试Windbg双机调试。从配置方法上讲VS2005配置双机调式比较简单。那我们先介绍VS2005的双机调试。 VS2005双机调试 约定术语: 被调试端:运行调试程序的机器 调试端:使用VS2005进行
使用windbg进行双机内核调试
03-06
但在某些情况下,如远程服务器的内核问题、硬件故障模拟或者多系统环境下的协同调试双机调试就显得尤为必要。它允许我们在一台主机(调试器)上控制另一台目标机(被调试机)的内核运行状态。 **设置双机调试的...
Windbg+VMware双机调试/1394/串口/常见问题处理+下载符号文件离线包
海阔天空
03-18 4414
目录 1. 调试工具VisualDDK: 2. Vista以下的版本系统设置: 3. Vista以上的版本系统设置: 4. 1394火线调试 5. 使用串口线双机调试 6.调试过程中出现的问题及解决方案 7. 快速下载符号文件离线包 1. 调试工具VisualDDK: 1.安装VisualDDK. 2.WMware拷贝target文件夹,运行wminstall.e...
双机调试windbg的命令
bilibili的博客
03-24 6215
啦啦啦
WinDbg 调试实战入门 - 调试第三方程序(记事本)
0x0007 的博客
05-30 3171
调试信息的丰富度和易读性主要依赖于符号文件,调试器需要符号文件来获取有关代码模块的信息,例如函数名称和变量名称。如果有符号文件,则后续的工作难度会大大降低。 本篇的调试流程简单,但覆盖了符号配置、断点设置、线程切换、查看堆栈这些基本的操作。Windbg 的命令十分强大,参数也很丰富,我们将在后续逐步学习掌握。
WinDbgvmware虚拟机调试配置 解决WinDbgvmware不能连接问题
03-29
利用VMWareWinDbg调试驱动程序,配置调试机(本机真实系统)和被调试机(虚拟系统)。 笔者也是第一次配置,按照网上一般教程总是配置不成功。后来发现是因为有的笔记本电脑上是没有COM1口的。于是装了个虚拟串口软件(VSPD)打算虚拟一个串口用来调试,装了之后发现VSPD显示本机上是有COM3口的(但是设备管理器上没有显示,只能从VSPD上看到...)。于是自己试了一下,用本机上的COM3口和虚拟机上的com2口进行的连接,结果成功了。 上传给大家参考一下。
AI学习所需知道的数学知识
soyb968的博客
12-21 257
所有知识整理到百度网盘 链接:https://pan.baidu.com/s/1cOwNYWrEZ7n1y7D5WFDMGA 提取码:oqo7 复制这段内容后打开百度网盘手机App,操作更方便哦--来自百度网盘超级会员V3的分享
驱动程序的调试windbg双机调试
C++入门到放弃
10-26 9429
这篇博客是接着上一篇的,主要写一下配置好了双机调试环境之后,如何使用windbg调试自己开发的驱动程序。配置完了双机调试的环境以后,在主机使用windbg已经可以hook虚拟机的操作系统,如下图 可以看到我们的调试机已经hook住了虚拟机,这时按Ctrl+Pause就可以使虚拟机的操作系统暂停运行。 输入g或者按F5可以使其恢复运行。这时将想要调试的驱动程序安装在虚拟机OS中,就是把 De
WinDbg双机调试,很慢
Lydia的博客
07-01 2395
WinDbg双机调试,很慢 SRV*F:\WindowsXP-SP3-x86-symbols*http://msdl.microsoft.com/download/symbols
VMware+windbg搭建双机调试
weixin_30670925的博客
01-04 185
VM版本如下: 虚拟机用的是XP系统,找到XP系统打开系统盘(比如C盘),找到Boot.ini,去掉这个文件的只读属性,用记事本打开Boot.ini [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)r...
基于网络的内核调试
Changju博客
12-11 2951
驱动调试需要用到两台机器,目前主要是通过串\口、usb或者1394接口来连接。对于软设备驱动来说就多了一种选择,通过vmware等虚拟化软件来虚拟测试机。但有些情况下必须在真实的双机环境进行,如真实设备驱动的调试,以及其他驱动无法在虚拟机上运行的情况,这时就要考虑用什么接口来连接了。串口的优点是它属于标配,几乎每个PC主板上都有,串口线也便宜,另外就是所有的windows系统都支持串口调试,所以很
windbg双机调试(本机和VM虚拟机)驱动程序
RedLobster的博客
02-24 2730
本文为在学习过程中的笔记,写的不好请见谅.在调试内核驱动程序时,驱动程序被操作系统加载.而操作系统无法自己调试自己.所以要用一台计算机调试另一台计算机的操作系统,进而调试内核驱动.使用windbg对虚拟机中的操作系统进行调试之前,要先配置windbg和虚拟机,这里用的windbg为WDK7.1中自带的.虚拟机配置安装好虚拟机后,打开虚拟机界面,点击编辑虚拟机设置 点击添加 选择串行端口,点击下一
vc远程调试启动进程(非attach)
ultracpp的专栏
08-26 650
调试端设置同attach进程方式的远程调试 代码端,需要在[Project] [Properties] [Configuration Properties] [Debugging]。将Debugger to launch选为Windows Remote Debugger. 然后设置如图:
windgb双机调试
03-29
### Windbg 双机调试方法与配置 Windbg 是一种功能强大的调试工具,支持多种方式的远程调试。以下是关于如何进行双机调试的方法和配置示例。 #### 调试环境准备 为了实现双机调试,需要确保目标计算机(被调试机器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值