Windows內核分析索引目錄:https://www.cnblogs.com/onetrainee/p/11675224.html
VT 調試環境搭建
調試方法: VmWare + win7x64 + windbg + IDA64位
一、虛擬機配置
1.打開win7的虛擬機文件,找到一個 .vmx 文件,在后面加上下面幾句話,之后保存,啟動虛擬機。
debugStub.listen.guest64.remote = "TRUE" monitor.debugOnStartGuest64 = "TRUE" debugStub.hideBreakpoints = "TRUE" bios.bootDelay = "3000"
2.當啟動虛擬機時,發現進入[調試]模式之后,黑屏,並且Windbg也連接不上,此時不用擔心,繼續往下看。
二、IDA配置啟動遠程調試
1.打開IDA64,點擊"Debugger"-"Attach"-"Remote DGB debugger"
2.兩個參數依次為 "localhost" "8864",點擊確定。
3. 一直點確定,最后會出現成功附加進程
4. 點左上角運行,啟動虛擬機
三、虛擬機連接windbg
1. 當IDA中繼續執行時,此時屏幕還是黑的,但此時已經可以和windbg連接了。
2. 正常啟動。
四、加載PDB文件
1. 從虛擬機中的 C:\windows\system32 中找到ntoskrnl.exe
2. 下載對應的PDB文件
3. 將ntoskrnl.exe 與 對應的pdb文件放在同一個目錄下,然后IDA加載PDB文件時,選擇加載ntoskrnl.exe(其會自動找到對應的模塊地址然后加載PDB文件)
PDB加載現在還不知道什么原因並未加載成功,但不影響我們后續的使用。