目錄
IDA7.0 配置內核調試
一丶 虛擬機 端口與環境配置
虛擬機配置.並且設置com調試端口,可以看我以前寫的文章.
這里不再啰嗦.
-
xp配置
-
win7 及以上配置
設置完畢最后如果按照上面的步驟.那么我們在windbg下的命令行應該是如下
-b -k com:port=//./pipe/com1,baud=115200,pipe
這里我是用的是com1
在這里我們記錄下命令
com:port=//./pipe/com1,baud=115200,pipe
當然 //./pipe 你設置的時候可能會設置為
\\.\pipe 這個看你自己怎么設置的
二丶 IDA配置調試
2.1 配置IDA Windbg路徑
首先第一步我們需要配置要將 Windbg的路徑設置到IDA
記住是路徑.而不是windbg.exe. 原因是 IDA需要依靠 windbg目錄下的. Dbgeng.dll來進行調試
1.首先去IDA的安裝目錄,進入到 CFG 文件夾, 找到 ida.cfg 並且以文本文檔形式打開(notpad or notepad++)
- 在文檔中搜索 DBGTOOLS 如果找到,你的可能是注釋的. 也就是前面有 // 去掉即可.
- 找到windbg的路徑設置進去. 這里需要注意的是 設置的字符串一定是 雙斜杠
例子:
DBGTOOLS = "E:\\InstallFile\\Rolan\\IBinaryToolsPacket\\RolanFile\\DebugTools\\Windbg\\X64\\";
2.2 IDA界面配置
- 1.首先在Debugger里面找到 Windbg debugger選項,並且點擊進去
- 2.設置命令行為我們剛剛保存的命令行
com:port=//./pipe/com1,baud=115200,pipe
-
3.Debug Options設置為 內核調試模式
-
4設置完成之后如果你調試機器打開了.點擊確定之后則會出現如下界面
此時選中kernel 點擊OK即可.
三丶IDA內核調試的常規操作
3.1 斷點與運行
使用了IDA 快捷鍵就會發生了變化.
比如我們要 F9 來運行起來
F7 / F8來進行單步 等. windbg是 F10 F11
下斷點 使用F2 , windbg F9
3.2 內存的查看與命令敞口
在IDA中查看內存是 Hex-view 直接打開即可查看內存
也可以按住ctrl + 地址. 快速查看一個地址.(這個自己嘗試的准不准確不知道了)
斷下內核之后可以在下面輸入windbg命令
比如我們想要進行符號設置
.symfix 告訴我執行微軟的符號地址
.sympath 設置或者查看微軟符號路徑
.sympath srv*path*httpxxxx 設置符號路徑
.reload /i 加載所有符號
至此我們內核調試就已經完成了. 如果你使用的是windbg64的路徑. 那么請打開
IDA64來進行調試. 可以調試32的虛擬機系統. 否則你設置的是windbg32的路徑
就使用32調試. 不過64都可以調試32 我這里就使用了64