VT 调试环境搭建

Posted 2020-11-26 onetrainee

Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html

 

VT 调试环境搭建

 

调试方法: VmWare + win7x64 + windbg + IDA64位

一、虚拟机配置

　　1.打开win7的虚拟机文件，找到一个 .vmx 文件，在后面加上下面几句话，之后保存，启动虚拟机。

debugStub.listen.guest64.remote = "TRUE"
monitor.debugOnStartGuest64 = "TRUE"
debugStub.hideBreakpoints = "TRUE"
bios.bootDelay = "3000"

 

　　2.当启动虚拟机时，发现进入[调试]模式之后，黑屏，并且Windbg也连接不上，此时不用担心，继续往下看。

 

 

二、IDA配置启动远程调试

　　1.打开IDA64,点击"Debugger"-"Attach"-"Remote DGB debugger"

　　　　

　　2.两个参数依次为 "localhost" "8864"，点击确定。

　　　　

　　3. 一直点确定，最后会出现成功附加进程

　　　　

 　　4. 点左上角运行，启动虚拟机

 　　　　

三、虚拟机连接windbg

　　1. 当IDA中继续执行时，此时屏幕还是黑的，但此时已经可以和windbg连接了。

　　

　　2. 正常启动。

　　

 

四、加载PDB文件

　　1. 从虚拟机中的 C:windowssystem32 中找到ntoskrnl.exe

　　2. 下载对应的PDB文件

　　3. 将ntoskrnl.exe 与 对应的pdb文件放在同一个目录下，然后IDA加载PDB文件时，选择加载ntoskrnl.exe（其会自动找到对应的模块地址然后加载PDB文件）

　　

 

　　PDB加载现在还不知道什么原因并未加载成功，但不影响我们后续的使用。