本文介绍了使用JTAG调试器在没有内核调试支持的情况下寻找和加载Windows NT内核PDB文件的挑战。通过启发式搜索算法在内存中定位内核和关键结构体KdVersionBlock,实现内核的符号化调试。然而,当系统升级并启用Hyper-V(IUM)后,导致NDB无法找到KdVersionBlock,影响符号加载。禁用hypervisorlaunchtype选项后,调试恢复正常。
JTAG调试器的优点是使用芯片层的硬件支持来建立调试会话,借助专门的通信电缆来访问和控制被调试系统,不用依赖软件层的调试支持,所以从CPU上电开始就可以调试,从CPU执行的第一条指令开始跟踪,CPU走到哪里,跟到哪里,可谓无孔不入,无坚不摧。
但是这样说,其实是基于一个假设,那就是调试者具有超强的汇编语言理解能力,“阅读汇编,如履平地”。原因是如果没有符号支持,那么调试时,基本就只能依赖阅读汇编、读寄存器和读原始内存了。
在今天这样的海量代码时代里,完全在汇编层调试,难度太大了,即使不畏艰难险阻,效率也太低。
所以,还是要有符号,要有软件层的语义。比如要调试操作系统内核,那么最好要有内核的调试符号。
以调试NT内核为例,这里说的“有”,包含两层含义:
一、拥有微软提供的内核符号文件(PDB)。
二、可以在调试器里把PDB的信息与内核的实际位置绑定起来,也就是能成功加载PDB文件。
第一个条件一般问题不大,微软一直保持着公开内核PDB文件的传统,但是第二个条件就有难度了。因为在做JTAG调试时,NT内核并不知道自己在被调试,它的调试支持是关闭的。没有内核的调试支持,就意味着我们连NT内核的内存地址都不知道。不知道内存地址,就无法加载PDB文件,基本问题是无法把内存中的信息与PDB中的信息对应起来。
为了解决这个问题,去年在开发GDK7和NDB(Nano Debugger)时,我们使用了一种“启发式”搜索方
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
