Mac下调试Win内核 (双虚拟机调试) 环境配置

Posted 2020-10-25 bgod

调试机: Win7+Windbg
被调试机: xp
虚拟机: VM

修改VM配置 添加串口

右击 -> 显示包内容 然后编辑 .vmx 后戳的文件 添加下面的配置

win7 (调试机):
serial0.present = "TRUE"
serial0.fileType = "pipe"
serial0.startConnected = "TRUE"
serial0.fileName = "/Users/jibin/Downloads/serial"
serial0.tryNoRxLoss = "FALSE"
serial0.pipe.endPoint = "client"

XP (被调试机):
serial0.present = "TRUE"
serial0.fileType = "pipe"
serial0.fileName = "/Users/jibin/Downloads/serial"
serial0.tryNoRxLoss = "FALSE"
serial0.pipe.endPoint = "server"

修改系统配置

右击我的电脑->管理->设备管理器->端口
找到下面的com1，右键属性->端口设置，波特率改成115200
(两台虚拟机都需要修改，xp 需要修改 boot.ini 文件，下面有讲到)

设置 c:\\boot.ini (在‘运行‘中输入c:\\boot.ini 即可打开 boot.ini 文件)
这一步直接开启了调试功能， 如果是 xin7需要在系统配置中修改 参考文章中就是双 win7。

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS="XP Professional with Kernel Debugging" /noexecute=optin /fastdetect /debug /debugport=COM1 /baudrate=115200
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

/debug 开启内核调试
/debugport=COM1 告诉系统使用哪个端口来链接调试系统和被调试系统
/baudrate=115200 指定串口的数据传输速率

开始调试

重启 被调试机xp 使其停留在引导界面

在调试机win7中打开 windbg 进行配置
File -> kernel debug...

然后重启被调试机xp

参考：
https://bbs.pediy.com/thread-222660.htm
《恶意代码分析实战》第十章