0x00 前期准備:
主機安裝Windbg
主機安裝VMware
在VMware中安裝Win10LTSC並且激活
主機配置符號文件相關的環境變量:
0x01 虛擬系統配置:
在虛擬系統設置的硬件一欄,刪除打印機之后添加串口(打印機會占用串口1):
配置串口:
0x02 修改虛擬系統啟動選項:
在虛擬系統中以管理員身份啟動powershell,執行 bcdedit /enum 查看啟動配置:
依次執行以下命令:
bcdedit /set “{current}” bootmenupolicy Legacy //修改啟動方式為Legacy
bcdedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 //設置串口1為調試端口,波特率為115200
bcdedit /copy “{current}” /d “Debug” //將當前配置復制到 Debug 啟動配置(新建了Debug啟動配置)
記錄一下新建的啟動配置的標識符,然后執行下面的命令:
bcdedit /debug “{<新建的啟動配置的標識符>}” on //打開調試開關
bcdedit /enum //查看配置
0x03 驗證配置:
重啟虛擬系統:
可以看到前面配置的 Debug 啟動配置已經生效了
打開 Windbg ,設置掛接選項:
設置完畢點擊OK之后,虛擬系統選擇 Debug 選項啟動,Windbg成功中斷:
雙機調試配置成功,可以在命令窗口輸入命令控制虛擬機里面的Win10系統
0x04 Windbg的簡單使用:
lm //查看系統當前的模塊
上圖中只加載了 nt 模塊的符號文件,可以使用 ld 命令強制加載其他模塊的符號文件:
查看指定模塊內的符號(nt模塊中以z開頭的符號):
查看內核中的結構體信息(_kprocess結構體):
查看系統當前運行的進程信息:
